US-Regierung kündigt nationale Cyber-Security-Strategie an
Im Cyberstrategie-Papier geht es unter anderem um die Rolle der großen Technologieunternehmen bei Cyberangriffen. Eine Einschätzung von Ralf Baumann von Veritas Technologies.
Das Rätselraten um die Veröffentlichung der US-amerikanischen Cyber-Sicherheitsstrategie ist beendet: Am 02. März hat die Biden-Harris-Regierung ihr 39 Seiten umfassendes Papier vorgestellt. Darin geht es unter anderem um die Rolle der großen Technologieunternehmen bei der Verhinderung von Cyber-Angriffen auf US-amerikanische Bürger, Organisationen und Territorien. Das offizielle Dokument ruft dazu auf, „die Verantwortung für die Verteidigung des Cyberspace neu zu verteilen“. Einzelpersonen, kleine Unternehmen und lokale Regierungen sollen demnach von der Verantwortung für Angriffe, etwa durch Ransomware, befreit werden.
Zielvorgaben statt durchsetzbare Regeln
Der von Präsident Joe Biden vorgeschlagene Plan besteht zwar bislang mehr aus Zielvorgaben als aus tatsächlich durchsetzbaren Regeln. Er skizziert jedoch, wie die künftigen gesetzlichen Entwicklungen in diesem Bereich aussehen könnten. So sollen die Cyber-Sicherheitsanforderungen an Unternehmen, die für die Verwaltung kritischer digitaler Infrastrukturen zuständig sind, erhöht werden. Betroffen wären davon vor allem die Anbieter von Cloud-Diensten, die einen Großteil der Infrastruktur verwalten. Sie sollen gezwungen werden, Mindestsicherheitsstandards einzuhalten, ansonsten machen sie sich strafbar.
Der Plan hat in den USA eine Debatte ausgelöst, wie der öffentliche und der private Sektor zusammenarbeiten können, um die Herausforderungen im Bereich Datensicherheit zu bewältigen. Und er ist ein klares Bekenntnis dafür, dass die Bedrohungen für die Bürger und Organisationen des Landes adressiert werden.
Aus dem Papier ergeben sich drei wichtige Schlussfolgerungen:
1. US-Organisationen sind zu Best Practices zur Stärkung ihrer Resilienz gezwungen
Sollten die Vorgaben der Biden-Harris-Regierung umgesetzt werden, wird es für Unternehmen nicht mehr möglich sein, schwache Cyber-Sicherheitsmaßnahmen durch den Abschluss einer Versicherung auszugleichen. Um die Einhaltung der Compliance mithilfe von Best Practices zu gewährleisten, werden bestehende Regulierungsbehörden einbezogen. Wie bei jeder neuen Regelung werden diejenigen, die frühzeitig handeln, wahrscheinlich ihre größten Nutznießer sein. Wer hinterherhinkt, muss mit höheren Kosten – unter anderem durch Bußgelder – sowie mit einem Mangel an Skills im Compliance-Bereich rechnen.
2. Eine neue Ära der Unternehmensverantwortung bricht an
Die US-Regierung will Unternehmen in die Verantwortung nehmen, die von ihnen verwalteten Daten zu schützen. Wenn die Schutzmechanismen versagen, muss dies gemeldet werden. Zudem sollen Softwareentwickler verpflichtet werden dafür zu sorgen, dass Software nicht mit Sicherheitslücken ausgeliefert wird. Ziel ist es, die Last der Einhaltung der Vorschriften zu verteilen.
3. Verordnung über personenbezogene Daten in Sicht
Dem Strategiepapier zufolge wird die US-Verwaltung die gesetzlichen Maßnahmen dabei unterstützen, die Erhebung, Verwendung, Übertragung und Speicherung personenbezogener Daten zu begrenzen. Nach jahrelangen Debatten ist die neue Strategie ein klares Signal, dass die Biden-Harris-Regierung eine nationale Verordnung im Stil der europäischen Datenschutzgrundverordnung befürwortet. Unternehmen sollten bereits jetzt damit beginnen zu ermitteln, über welche personenbezogenen Informationen sie verfügen. Je länger sie dies hinauszögern, desto mehr Daten müssen sie verwalten, was den Prozess immer komplizierter macht.
Die Vereinigten Staaten sind in vielerlei Hinsicht ein wichtiger Akteur auf der Weltbühne. Und mit dem Strategiepapier sendet die US-Regierung ein klares Signal an die internationale Gemeinschaft. Sollten die geplanten Gesetze verabschiedet werden, dürften sie einen starken Einfluss darauf haben, wie Organisationen mit dem Datenschutz umgehen – ein Vorteil für alle Beteiligten.
„Aber auch Deutschland sollte seine Bemühungen für mehr Cyber-Sicherheit verstärken. Viele der bisherigen Maßnahmen greifen zu kurz und müssen nachhaltig verbessert werden“, erläutert Ralf Baumann von Veritas Technologies. „Es bleibt daher zu hoffen, dass das Strategiepapier der Biden-Harris-Regierung die Entwicklung einer nationalen Cyber-Sicherheitsstrategie für Deutschland vorantreibt. Das Thema muss hierzulande eine höhere Priorität bekommen – und zwar in allen gesellschaftlichen Bereichen.”
Ralf Baumann
Country Manager Germany bei Veritas Technologies