Seit über drei Jahrzehnten hat das Internet die Art und Weise revolutioniert, wie wir innovieren, kommunizieren und Informationen austauschen. Wir sind auf dem Weg zu einer digitalen Revolution, bei der unser tägliches Leben, unsere Wirtschaft und unsere Gesellschaft mit Systemen und Technologien kombiniert werden, um das Internet of Things (IoT) zu erschließen.
Mit dem IoT haben wir jetzt die Grundlage, um die Effizienz und Sicherheit sowohl in der Industrie als auch zu Hause weiter zu erhöhen. Gleichzeitig bietet sich die Möglichkeit, Daten und Rechenleistung für noch mehr neue Entdeckungen zu nutzen.
Das Streben nach einer vernetzten Zukunft hängt von der Widerstandsfähigkeit und Sicherheit der zugrunde liegenden Technologien und Systeme ab. Und obwohl beim Schutz des digitalen Ökosystems erhebliche Fortschritte erzielt wurden, liegt noch ein langer Weg vor uns. Die Technologie in ihrer jetzigen Form bleibt anfällig für Bedrohungen, die es böswilligen Akteuren ermöglichen, Systeme auszunutzen und Störungen zu verursachen.
In diesem Blog werden wir den Zweck der National Cybersecurity Strategy des Weißen Hauses und den Fünf-Säulen-Ansatz untersuchen, der in der Strategie vorgestellt wird, um den Weg in eine digital gestützte Zukunft zu ebnen.
Etablierung einer Vision für die Sicherheit des Cyberspace
Anfang März 2023 veröffentlichte das Weiße Haus seine National Cybersecurity Strategy, um „eine positive Vision für einen sicheren Cyberspace zu schaffen, der Möglichkeiten zur Verwirklichung unserer kollektiven Bestrebungen bietet“.
In der Strategie werden zwei grundlegende Veränderungen gefordert: eine Neuverteilung der Verantwortung und eine Neuausrichtung der Anreize zugunsten langfristiger Investitionen. Um diese Veränderungen voranzutreiben, wurde die Strategie in fünf Säulen aufgeteilt.
Die fünf Säulen der National Cybersecurity Strategy
Die National Cybersecurity Strategy besteht aus fünf Säulen:
- Verteidigung kritischer Infrastrukturen
- Störung und Ausschaltung von Bedrohungsakteuren
- Gestaltung der Marktkräfte zur Förderung von Sicherheit und Widerstandsfähigkeit
- Investition in eine widerstandsfähige Zukunft
- Aufbau einer internationalen Partnerschaft zur Verfolgung gemeinsamer Ziele
1. Verteidigung kritischer Infrastrukturen
Im letzten Jahr wurden durch Standardisierung Verbesserungen beim Schutz kritischer Infrastrukturen erzielt. Aber da es immer noch keine verbindlichen Anforderungen gibt, führt dies zu uneinheitlichen Ergebnissen. Die Strategie legt dar, dass es Anforderungen geben sollte, um das Vertrauen in die Dienstleistungen zu stärken, die die Grundlage der Wirtschaft und des täglichen Lebens bilden.
Zur Verbesserung des Schutzes werden bestehende rechtliche Befugnisse genutzt, um leistungsbasierte und Cybersicherheitsanforderungen für kritische Infrastrukturen festzulegen. Zudem werden Rahmenwerke wie das National Institute of Standards and Technology's (NIST) Cybersecurity Framework und andere genutzt.
Zu dieser Säule gehören auch die Stärkung der öffentlich-privaten Zusammenarbeit zur Verbesserung der Cybersicherheit, die Förderung einer besseren Integration der Cybersicherheit in Regierungsbehörden und -abteilungen, die Erstellung aktuellerer föderaler Notfallpläne und die Modernisierung der nationalen Verteidigungssysteme.
2. Störung und Ausschaltung von Bedrohungsakteuren
Das Ziel der zweiten Säule ist es, böswillige Akteure an einer Eskalation von cybergestützten Kampagnen, die die nationale Sicherheit der USA bedrohen, zu hindern.
Es wird ein Plan zur Entwicklung und Aktualisierung einer Strategie des Verteidigungsministeriums formuliert, um zu klären, wie Cyberspace-Operationen proaktiv gegen Akteure verteidigt werden sollen, die eine strategische Bedrohung für die USA darstellen. Mit Hilfe der National Cyber Investigative Joint Task Force (NCIJTF) sollen kontinuierlich koordinierte Operationen ermöglicht werden.
Im Rahmen der Strategie wird Ransomware als nationale Sicherheitsbedrohung eingestuft, und es gibt eine Verpflichtung zur Verstärkung der Bekämpfung von Störungsversuchen. Es wird auch erwogen, die Zusammenarbeit zwischen öffentlichen und privaten Stellen zu verstärken, um die Geschwindigkeit und den Umfang des Informationsaustauschs und der Benachrichtigung zu verbessern und dadurch Cyberkriminalität und Ransomware-Bedrohungen allgemein zu bekämpfen.
3. Gestaltung der Marktkräfte zur Förderung von Sicherheit und Widerstandsfähigkeit
Die dritte Säule befasst sich mit einer Verlagerung der Verantwortung. Das betrifft insbesondere diejenigen, die Risiken am besten verringern können, um so eine moderne digitale Wirtschaft zu schaffen, die Sicherheit und Widerstandsfähigkeit fördert und gleichzeitig Innovation und Wettbewerb beibehält.
In der Studie heißt es, dass bei der Produktentwicklung viele Anbieter „bewährte Verfahren für die sichere Entwicklung ignorieren, Produkte mit unsicheren Standardkonfigurationen oder bekannten Schwachstellen ausliefern und Software von Drittanbietern mit unbekannter oder ungeprüfter Herkunft integrieren“. Zur Verringerung des Risikos sollten Sicherheitsprinzipien oder Tests vor der Freigabe durchgeführt werden, aber oft haben Software- und IoT-Hersteller gar keinen entsprechenden Anreiz, da sie die Haftung vertraglich ablehnen können, indem sie ihre Marktposition ausnutzen.
In der Strategie wird vorgeschlagen, die Verantwortung auf die Softwarehersteller zu verlagern, damit nicht die Endnutzer die Folgen unsicherer Software tragen müssen. Es wird erwartet, dass ein Rahmen geschaffen wird, um Unternehmen, die ihre eigenen Produkte entwickeln und pflegen, vor der Haftung zu schützen.
Aber warum warten, bis dies Wirklichkeit wird? Schützen Sie Ihre Produkte noch heute.
Kontaktieren Sie uns noch heute
Darüber hinaus wird in der Säule die Erwartung geäußert, dass die koordinierte Offenlegung von Schwachstellen über alle Technologien hinweg gefördert wird, dass ein Verfahren zur Identifizierung und Abschwächung von Risiken bei weit verbreiteter, nicht unterstützter Software entwickelt wird, dass weiterhin nach Verbesserungen der IoT-Sicherheit gesucht wird und dass weitere Sicherheitsanreize geschaffen werden.
4. Investition in eine widerstandsfähige Zukunft
Die vierte Säule steht für eine „widerstandsfähige und florierende digitale Zukunft von morgen, die mit den Investitionen von heute beginnt“.
Es wird gefordert, dass strategische öffentliche Investitionen in die Innovation zusammen mit der Bildung genutzt werden, um wirtschaftlich nachhaltige Ergebnisse zu erzielen, die dem nationalen Interesse dienen. Dies verweist auf bestehende Programme, aber auch auf die Zusammenarbeit mit anderen Ländern zur Optimierung von Cybersicherheitstechnologien.
Ein bemerkenswerter Aspekt der vierten Säule ist der Plan zur Stärkung und Diversifizierung des Personals im Bereich der Cybersicherheit. In diesem Sinne wird der Direktor des Office of National Cybersecurity eine nationale Strategie für Cyber-Arbeitskräfte und -Bildung leiten, entwickeln und umsetzen, die auf den bestehenden Bemühungen der National Initiative for Cybersecurity Education (NICE) und anderer aufbaut.
Ein weiteres Ziel in diesem Teil der Strategie ist die Unterstützung bei der Entwicklung eines Ökosystems für digitale Identitäten. Während die digitale Identität eine innovativere, sicherere und effizientere digitale Wirtschaft ermöglichen kann, muss in robuste, überprüfbare digitale Identitätslösungen investiert werden, um Sicherheit, Zugänglichkeit und Interoperabilität zu fördern.
Zu den weiteren Plänen, die in der Strategie skizziert werden, gehören eine „Säuberungsaktion“, um einige der dringlichsten Probleme bei den grundlegenden Technologien des Internets zu entschärfen, und zwar die Umstellung anfälliger öffentlicher Netzsysteme auf quantenresistente Technologie und die Beschleunigung der Einführung von Technologien für eine saubere Energiezukunft.
5. Aufbau einer internationalen Partnerschaft zur Verfolgung gemeinsamer Ziele
Seit Jahrzehnten arbeiten internationale Institutionen daran, verantwortungsvolles Verhalten im Cyberspace zu definieren und zu fördern. Die fünfte und letzte Säule der Strategie zielt darauf ab, die Strategie durch den Aufbau von Koalitionen zur Bekämpfung von Bedrohungen weiterzuentwickeln und damit Partnerschaften aufzubauen und zu stärken.
Diese Säule zielt auch darauf ab, die Sichtbarkeit zu erhöhen, indem sie den öffentlichen und den privaten Sektor zusammenbringt und die Zusammenarbeit mit Organisationen wie der National Cyber-Forensics and Training Alliance und anderen fördert.
Es gibt komplexe, weltweit vernetzte Lieferketten, die Produkte der Informations-, Kommunikations- und Betriebstechnologie herstellen, die die US-Wirtschaft antreiben. Und diese Abhängigkeit bringt ein wachsendes Netz internationaler Zulieferer mit sich. Es besteht die Notwendigkeit, das Risiko zu mindern, was jedoch eine langfristige, strategische Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor (sowohl im Inland als auch im Ausland) erfordert, um Gleichgewicht, Widerstandsfähigkeit und Sicherheit zu gewährleisten.
Ehrgeizige Agenda, ausgewogen durch Realismus
Die National Cybersecurity Strategy ist ein Dokument mit Substanz, das eine ehrgeizige Agenda zur Bewältigung der anstehenden Mammutaufgabe vorstellt – aber ist sie auch realistisch? Bei der Erörterung der Umsetzungsmethode achtet die Regierung auf Folgendes:
- Bewertung der Wirksamkeit anhand von Daten
- Einbeziehung der aus Cybervorfällen gezogenen Lehren
- Vorzunehmende Investitionen
Es wird ein harter Kampf für die Regierung werden, um diese ehrgeizige Agenda zu verwirklichen. Aber bei weniger als zwei Jahren für die Umsetzung einer neuen Strategie, die sowohl neue Gesetze als auch Vorschriften erfordert, wird dies nicht über Nacht oder in absehbarer Zeit geschehen.
Aber können Sie als Unternehmen etwas tun, um Ihre Cybersicherheit jetzt zu verstärken?
Verstärken Sie jetzt Ihre Cybersicherheit mit GlobalSign
GlobalSign verfügt über mehr als 25 Jahre vertrauenswürdiger Erfahrung in der Bereitstellung von Lösungen, mit denen Unternehmen Zugang, Netzwerke und Geräte sichern können. Mit unserem Angebot an Verwaltungs-, Automatisierungs- und Integrationslösungen können Sie die Public Key Infrastructure (PKI)-Technologie schnell und effizient in Ihrem Unternehmen einsetzen.
- Dokumente digital signieren und sichern
- Verstärkte Sicherheit Ihrer Website durch vertrauenswürdige SSL/TLS
- Sichere E-Mails durch S/MIME
- Kontrolle und Authentifizierung des Zugriffs auf Ihre Netzwerke und Ressourcen
- Konformität mit bestehenden Vorschriften wie eIDAS und PSD2
- Automatisieren Sie Ihren Lebenszyklus der Zertifikatverwaltung
