Mittlerweile sind schon gut zwei Monate vorbei seitdem Joe Biden die Executive Order on Improving the Nation’s Cybersecurity verabschiedet hat, und kaum jemand hat seither darüber berichtet, schließlich stellt sich mir die Frage: Warum eigentlich?
Eine Frage die vermutlich nicht so einfach beantwortet werden kann. Doch bei den zahlreichen Vorfällen in den letzten Monaten sowie SolarWinds, der Ransomware Angriff auf Colonial Pipeline, der Angriff auf den irischen Gesundheitsdienst, der auf die Uniklinik Düsseldorf bei dem sogar ein Todesermittlungsverfahren eingeleitet wurde und jetzt auch noch der Angriff auf den IT Dienstleister Kaseya, wo folglich über 500 Supermarktfilialen geschlossen werden mussten und sich mittlerweile etliche betroffene Unternehmen zu Wort melden.
Kaum ist ein Angriff vorbei oder am vergessen, wird schon wieder über den nächsten Angriff berichtet und eine negative Schlagzeile folgt der Anderen. Deshalb wäre es doch schon längst überfällig auch mal über positive Ereignisse im Security Umfeld zu berichten. Erfreulicherweise ist zur Zeit das IT-Sicherheitsgesetz 2.0 sehr stark in den Medien vertreten, doch Joe Bidens Verfügung wurde scheinbar völlig übersehen oder ignoriert.
Als Vorbild voraus
Man mag von der amerikanischen Politik halten was man will, aber das was Joe Biden mit dieser Verfügung in die Wege geleitet hat, ist meiner Meinung nach vorbildlich und zeigt, Security ist auf höchster Ebene angekommen. Doch offensichtlich noch nicht überall und man sollte sich wünschen, dass es auch hier bei uns in Europa endlich mal auf höchster Ebene spürbar ankommt. Oder was muss noch alles passieren? Sind Krankenhäuser und Supermärkte nicht schon alarmierend genug, abgesehen von anderen bedenklichen Vorfällen…
Offen gesagt hätte ich mir erwartet, dass solch eine Veröffentlichung rasch die Runde macht und wesentlich stärker in den Medien verbreitet wird, hingegen findet man kaum einen Artikel dazu. Eine Suche zum Thema Executive Order auf Heise, Golem oder anderen Nachrichtenseiten lieferte mir zu dieser Veröffentlichung leider keine passenden Ergebnisse. Aber dafür lieferte die Suche anderes und siehe da, Barack Obama hatte bereits 2013 ein Dekret zur Cybersicherheit erlassen. Scheinbar ist das auf der anderen Seite des Ozeans schon länger Chef-Sache.
Die Executive Order
Doch werfen wir mal einen Blick auf die Veröffentlichung: Am 12. Mai 2021 hat Joseph R. Biden Jr. die Executive Order on Improving the Nation’s Cybersecurity verabschiedet, mit dem Ziel die landesweite Cybersicherheit zu verbessern und die Bundesregierung zu schützen. Darin finden wir folgende Schwerpunkte:
- Verringerung von Barrieren zwischen öffentlichen und privaten Bereichen
- Modernisierung und Implementierung von Standards
- Verbesserung von Supply Chain Software Sicherheit
- Einführung eines Prüfungsausschusses
- Erstellung eines Incident Response Playbook
- Verbesserung der Aufspürung von Sicherheitsvorfällen
- Einführung von Logging Standards
Verringerung von Barrieren zwischen öffentlichen und privaten Bereichen
Die Verfügung soll IT Service Anbietern den Austausch mit der Regierung erleichtern. Zurzeit wird ein solcher Austausch oft durch vertragliche Regulierungen unterbunden und erschwert dadurch entsprechende Verteidigungsmaßnahmen des Regierungsnetzwerkes. Ein Dialog über Bedrohungen, Vorfälle und Risiken ist ein notwendiger Schritt zur Prävention und einer besseren Abwehr.
Modernisierung und Implementierung von Standards
Die Bundesregierung plant signifikante Investitionen, sei es Cloud, On Premises oder Hybrid. Die Architektur soll in Richtung Zero-Trust weiterentwickelt werden. Ebenso wird ein Augenmerk auf Multifaktorauthentifizierung und Verschlüsselung geworfen. Zusätzlich sollen noch ein Trainingsprogramm eingeführt werden und Trainingsmaterial zur Verfügung gestellt werden. Weiters sollen noch Standards in den verschiedensten Bereichen etabliert werden.
Verbesserung von Supply Chain Software Sicherheit
Einführung von Baseline Security Standards für Software, und Einführung eines eigenen Labels für die Sicherheit, ähnlich dem Energy Star Label. Dabei sollen auch verstärkt Tools und Best Practices zum Einsatz kommen. Auch die Teilnahme an einem Vulnerability Disclosure Programm wird anvisiert, sowie etliche andere Themen auch.
Einführung eines Prüfungsausschusses
Die Behandlung von Sicherheitsvorfällen wird in der Veröffentlichung, über alle Abschnitte hinweg, sehr stark angesprochen. Um das sicherzustellen wird ein Prüfungsausschuss eingeführt, welcher aus Regierungsmitgliedern und Unternehmen aus dem privaten Bereich besteht. Dieser soll erhebliche Sicherheitsvorfälle analysieren und konkrete Empfehlungen ableiten beziehungsweise aussprechen.
Erstellung eines Incident Response Playbook
Aufgrund von sehr unterschiedlichen Abhandlungen in den verschiedenen Agenturen werden standardisierte Vorgehen festgelegt um eine Behebung koordinierter und zentralisierter erfolgreich abschließen zu können.
Verbesserung der Aufspürung von Sicherheitsvorfällen
Zu den höchsten Prioritäten gehört auch die Verbesserung der Aufspürung von Sicherheitsvorfällen. So soll die Bundesregierung im Bereich Endpoint Detection and Response (EDR) federführend auftreten. Dabei wird auch verstärkt auf die Kommunikation unter den Agenturen geachtet.
Einführung von Logging Standards
Ohne vernünftiges Logging können die angesprochenen Optimierungen nur schlecht umgesetzt werden und schlechtes Logging behindert am Ende auch die Aufklärung von Vorfällen. Deswegen sollen hierfür passende Standards eingeführt werden, die auch einen entsprechenden Schutz der Logfiles selbst sicherstellen sollen.
Ganz generell betrachtet ist das nur ein sehr geringer Auszug aus der Publikation und es lohnt sich wirklich diese mal genauer anzusehen. Man merkt rasch, wie viel Arbeit unter einem straffen Zeitplan noch zu tun ist und wie viele Themen darin wirklich behandelt werden sollen.
Nachfolgende findet ihr noch zwei Links zu der Executive Order. Viel Spaß beim lesen 😉
Quellen:
