Cybersecurity: US-Präsident Biden unterzeichnet Durchführungsverordnung

Was ist geschehen?

Joseph R. Biden jr., Präsident der Vereinigten Staatten von Amerika, hat am 12. Mai 2021 eine Verordnung (Executive Order) unterzeichnet, um den gegenwärtigen Status der Cybersicherheit und den Schutz der IT-Netze drastisch zu verbessern.

Hintergründe

Die Verordnung betrifft alle nationalen Informationssysteme sowohl im öffentlichen als auch im privaten Sektor und soll die Sicherheit und Privatsphäre der amerikanischen Bevölkerung sicherstellen. Das bezieht sich sowohl auf Systeme, die Daten verarbeiten (Informationstechnologie (IT)), als auch auf lebenswichtige Anlagen (Betriebstechnologie (operational technology / OT)), in Deutschland vergleichbar mit den „Kritischen Infrastrukturen“ (KRITIS).

Hintergrund für die Verordnung ist die Erkenntnis, dass schrittweise Verbesserungen nicht in der gewünschten Schnelligkeit zum Ziel führen. Deshalb soll über die bundesweite Beschaffung und das Tätigen von Investitionen eine entsprechende Marktmacht ausgeübt werden. Dies geschieht dadurch, dass alle US-amerikanischen Bundesinformationssysteme die Standards und Anforderungen an die Cybersicherheit erfüllen oder übertreffen sollen, die in der Executive Order festgelegt sind.

Doch nicht nur das – Unternehmen des privaten Sektors sind aufgefordert, dem Beispiel der US-Bundesregierung zu folgen und ebenfalls Maßnahmen zu ergreifen, um die Investitionen in die Cybersicherheit zu erhöhen und aufeinander abzustimmen.

Welche Inhalte werden diskutiert?

Die Grafik zeigt die Inhalte der Executive Order: Informationsaustausch zu Bedrohungen, Strengere Cybersecurity-Standards, Software-Lieferkette (z. B.: SBOM), Cybersecurity Safety Review Board, Standard Playbook, Erkennbarkeit von Cybersecurity-Vorfällen, Cybersecuirty-Vorfälle: untersuchen und beheben

Kern-Ziele der Verordnung sind:

  • Der Austausch von Informationen zu Bedrohungen zwischen Regierung und Privatsektor soll erleichtert / Barrieren sollen beseitigt werden;
  • Strengere Cybersicherheitsstandards sollen etabliert / bestehende Standards modernisiert werden;
  • Die Software-Lieferkette steht hinsichtlich Security unter besonderer Beobachtung (z. B.: Software Bill of Materials – SBOM);
  • Einrichtung eines Cybersecurity Safety Review Boards;
  • Vorbereitungen zur Reaktion auf Cyber-Vorfälle (Incident Response and Remediation): Erarbeitung von Angriffs-Szenarien und Reaktionen darauf (Standard-Playbooks, d. h. Handlungsanweisungen);
  • Verbesserung der Erkennbarkeit von Cybersecurity-Vorfällen;
  • Verbesserung der Fähigkeiten, Cybersecurity-Vorfälle untersuchen und beheben zu können.

Was bedeutet das?

Die genannten Ziele beziehen sich zunächst „nur“ auf die Beschaffung von IT-Systemen bzw. Infrastruktur durch die Regierung der Vereinigten Staaten von Amerika. Wir gehen davon aus, dass dies Auswirkungen auch auf Lieferanten hat, die a) nicht direkt an die Regierung liefern und b) nicht ihr Kern-Geschäft in den USA haben.

Begründung:

  1. Es wird erwartet, dass auch Lieferanten, die nicht direkt an die Regierung der Vereinigten Staaten liefern, aus privatrechtlicher Sicht mit den neuen Anforderungen konfrontiert werden („Warum sollen wir uns mit weniger zufrieden geben?“).
  2. Security ist keine rein nationale Herausforderung, sondern eine internationale. Sollte sich durch die Anforderungen ein neuer „Stand der Technik“ ergeben, dann ist dieser Stand auch außerhalb des Geltungsbereichs der Verordnung zu berücksichtigen.
  3. Die Verordnung betrifft nicht nur die Medizintechnik – aber auch! Speziell durch die Struktur der medizinischen Versorgung in den USA und die von den Streitkräften betriebenen Krankenhäuser (sowohl für aktive Soldaten als auch für Veteranen) ergibt sich ein großes Beschaffungsvolumen.
  4. Bestehende Anforderungen bekommen eine größere Tragweite; insbesondere „MDS2“ (ANSI/NEMA HN 1-2019: American National Standard – Manufacturer Disclosure Statement for Medical Device Security) sowie aktuell beispielsweise die bereits bestehende Normenreihe 80001, die IEC 81001-5-1 sowie IEC TR 60601-4-5, um nur einige im Bereich der Medizintechnik zu nennen.

Wie hilft Ihnen der VDE?

Unabhängig von der aktuellen Nachrichtenlage wird uns das Thema „Security“ auch in Zukunft beschäftigen.
Und auch wenn Sie – wie oben dargestellt – im Moment vielleicht nicht direkt von dem Erlass betroffen sind, so zeigt die Verordnung, dass Security immer mehr in den Fokus der Entscheider rückt.
Sicherheit kann nicht am Ende der Entwicklung in ein Produkt „hineingeprüft“ werden. Das gilt neben der Betriebssicherheit („Safety“) insbesondere auch für die Informationssicherheit („Security“).
Wir im VDE unterstützen Sie bei dieser Aufgabe von Anfang an, beginnend bei der Planung bis hin zur Implementierung.

Gerne beantworten wir Ihre Fragen und freuen uns auf Ihre Kommentare!