Obwohl die US-Regierung frühere Gelegenheiten ignoriert hat, sagt der ehemalige Strategiechef des National Cybersecurity Center, Mark Weatherford, dass es dieses Mal anders ist.

Wesentliche Punkte:

  • Man kann keinen Datenschutz ohne gute Cybersicherheit haben, daher muss die US-Bundesregierung mehr für die Sicherheit tun, um die Datenschutzbestimmungen zu unterstützen.
  • Die jüngsten Mega-Angriffe werden neue US-Cybersicherheitsvorschriften vorantreiben.
  • Mitarbeiter, die von zu Hause aus arbeiten, tragen einen größeren Teil der Cybersicherheitslast - aber die CISOs sind letztendlich immer noch verantwortlich.
  • "Technologische Schulden" im öffentlichen und privaten Sektor erhöhen das Cyber-Risiko - und die Kosten.
  • In der "Lieferkette" der Softwareentwicklung ist Transparenz gefragt.
  • Es wird die Zeit kommen, in der CEOs persönlich für Cybersicherheit haftbar gemacht werden.

 

Die Ankunft einer neuen Regierung in Washington ist ein hoffnungsvolles Zeichen für die US-Cybersicherheitspolitik auf nationaler Ebene, sagt Mark Weatherford. Er merkt an, dass Präsident Biden die Cybersicherheit zur Priorität erklärt hat, wichtige Ernennungen in diesem Bereich vorgenommen und zugesagt hat, fast 10 Milliarden US-Dollar für verschiedene Cybersicherheitsinitiativen zur Unterstützung der Bundesregierung bereitzustellen.

"Es ist ein Hinweis darauf, dass er seinen Worten Taten folgen lassen wird", sagte Weatherford, Chief Strategy Officer des U.S. National Cybersecurity Center. "Ich bin hoffnungsvoll, dass die Regierung vieles von dem, was wir im Moment als Versprechen sehen, auch umsetzen wird."

Während seiner Karriere diente Weatherford als stellvertretender Unterstaatssekretär für Cybersicherheit im Heimatschutzministerium während der Obama-Regierung und als CISO der Bundesstaaten Kalifornien und Colorado.

In einem Q&A mit Mimecast sprach Weatherford, der auch CISO bei Alert Enterprise ist, über die Aussichten für die Cybersicherheitspolitik auf nationaler Ebene und darüber, wie sich der Fokus des privaten Sektors auf digitale Sicherheit entwickelt. 

Anmerkung der Redaktion: Dies ist das vierte in einer Reihe von Interviews mit führenden Cybersecurity-Experten aus dem akademischen Bereich, Forschungseinrichtungen und dem privaten Sektor.

Mimecast: Basierend auf Ihrer Erfahrung mit der Obama-Regierung, wie sollte das Biden-Team Ihrer Meinung nach an das Thema Cybersicherheit herangehen?

Mark Weatherford: Das ist etwas, worüber ich in einem Forbes-Artikel geschrieben habe, die drei wichtigsten politischen Entscheidungen, die sie treffen müssen. [1]

Eine davon ist, jemanden zurück ins Außenministerium zu holen, der als globaler Verbindungsmann für Cybersicherheit mit anderen Nationen fungiert. Ich glaube sogar, dass der Kongress gerade an einer Gesetzgebung arbeitet - vielleicht nicht an einer Gesetzgebung, aber sie haben einen Cyber-Botschafter im Außenministerium gefordert. Das ist von entscheidender Bedeutung, denn wenn wir im Laufe der Jahre etwas herausgefunden haben, dann, dass wir das nicht alleine schaffen können. Wir können die beste Sicherheit, die besten Leute und die beste Politik der Welt haben, aber wenn wir nicht mit anderen Nationen kooperieren, zusammenarbeiten und uns abstimmen, können wir einfach nicht erfolgreich sein. Es ist von entscheidender Bedeutung, dass wir diese internationale Cyber-Botschafterrolle wieder einführen.

Aus der Perspektive der Beratung hoffe ich, dass wir mehr Leute mit Erfahrung im Bereich Cybersicherheit aus der Privatwirtschaft sehen werden und nicht nur eine Menge dieser Positionen mit Regierungsmitarbeitern besetzen. Das nimmt nichts von den Regierungsmitarbeitern weg, denn diejenigen, die bisher nominiert wurden, sind sehr, sehr gut qualifiziert. Aber in meiner Zeit in der Regierung, sowohl auf Landes- als auch auf Bundesebene, habe ich immer wieder gelernt, dass die Leute in der Regierung Cybersicherheit anders angehen als in der Privatwirtschaft. Sie gehen die Probleme anders an, setzen andere Prioritäten und betrachten die Risiken anders als der private Sektor. Daher ist es wichtig, Leute in der Verwaltung zu haben, die Erfahrung mit operativer Cybersicherheit haben, die Gewinn und Verlust verstehen, die Entscheidungen treffen mussten wie: "Geben wir dafür Geld aus oder geben wir dafür Geld aus?" Ich denke, das ist wirklich entscheidend.

Die andere war, dass das Weiße Haus die Ernennung eines nationalen Cyber-Direktors in Angriff nehmen muss. Diese Person muss die Autorität über die Behörden der Exekutive in Bezug auf die Cybersicherheit haben, sowohl für die Politik als auch für die Finanzierung in der gesamten Bundesregierung.

Bei den Ausgaben der Bundesregierung für Cybersicherheit können derzeit so viele Effizienzgewinne erzielt werden. Es wird viel Geld verschwendet, weil die Organisationen ihr eigenes Ding machen, ohne dass es eine Abstimmung zwischen den Bundesministerien und -behörden in Bezug auf die Cybersicherheit gibt.

Mimecast: Sie haben geschrieben, dass die USA die Führungsrolle im Internet aufgegeben haben. Gleichzeitig haben die Bundesstaaten mit Regelungen wie CCPA und dem New Yorker SHIELD Gesetz eine gewisse Verantwortung für Daten eingeführt. Hat sich das regulatorische Umfeld hin zu einer stärker verbraucherorientierten, persönlichen Verantwortung entwickelt, bei der vom Einzelnen erwartet werden sollte, dass er seine eigenen Daten schützt?

Weatherford: Ich glaube nicht, dass es eine Entwicklung ist. Ich denke, es war schon immer so, dass sich die Regierung auf den Schutz des Verbrauchers konzentriert hat. Machen sie den Verbraucher jetzt verantwortungsvoller? Vielleicht. Aber ich sage Ihnen, die Messlatte für Unternehmen, die mit dem Schutz der privaten Daten ihrer Kunden beauftragt sind, ist höher geworden.

Dies ist der Unterschied zwischen Datenschutz und Sicherheit. Die Regierung war schon immer proaktiver bei datenschutzbezogenen Themen als bei der Sicherheit. Das ist der Grund, warum wir dieses Gespräch führen. Die Regierung muss mehr für die Sicherheit tun, um die Datenschutzgesetze und -vorschriften zu unterstützen, die sie eingeführt hat.

Ich habe das schon vor langer Zeit gehört, und es hat sich nie geändert: Sicherheit kann ohne Privatsphäre existieren, aber Privatsphäre kann nicht ohne Sicherheit existieren. Es gibt eine Sicherheitsabhängigkeit aus der Perspektive des Datenschutzes, für die wir nicht genug Unterstützung von Seiten der Regierung gesehen haben.

Mimecast: Mit der COVID-Pandemie haben wir eine Beschleunigung der digitalen Transformation und neue Sicherheitsherausforderungen gesehen. Verlagern wir die Verantwortung mehr auf Einzelpersonen und weniger auf Organisationen? Muss diese Schwachstelle angegangen werden?

Weatherford: Nun, ich glaube nicht, dass wir diesbezüglich eine Regulierung sehen werden, da dies branchen- und unternehmensabhängig ist. Es gibt sicherlich zusätzliche Verantwortlichkeiten, die auf Mitarbeiter, die von zu Hause aus arbeiten, verlagert werden, daran besteht kein Zweifel. Aber die meisten CISOs und Sicherheitsteams, die ich kenne, haben den Ansatz gewählt: "OK, weil wir mehr Verantwortung auf die Mitarbeiter abwälzen, müssen wir mehr tun, um ihnen zu helfen." Also setzen sie mehr Endpunkt-Technologien ein, die Schwachstellen überprüfen und identifizieren können. Sie führen mehr Schulungen für Benutzer durch, um ihnen zu zeigen, was sie tun und was sie nicht tun sollten.

Ich denke, die Quintessenz ist, dass die Unternehmen und CISOs letztendlich immer noch verantwortlich sind. Auch wenn den Mitarbeitern ein wenig mehr Verantwortung auferlegt wird, können sich die Unternehmen und CISOs nicht davor drücken, dass es letztlich immer noch ihre Verantwortung ist. Wenn sie Mitarbeiter haben, die von zu Hause aus arbeiten, ist es ihre Verantwortung, sicherzustellen, dass ihre Mitarbeiter das Richtige tun. Ich würde nicht sagen, dass der Fokus weniger auf der Organisation liegt, sondern eher, dass sich die Verantwortlichkeiten sowohl für die Mitarbeiter als auch für die organisatorische Sicherheit ändern.

Mimecast: In einer anderen Kolumne haben Sie darüber geschrieben, wie die Pandemie eine " Tech-Schuld" zwischen den Regierungen der Bundesstaaten und die Notwendigkeit einer zentralisierten Cyberstruktur aufgedeckt hat. Wie wirkt sich diese Tech-Schuld auf die Cybersicherheit aus? Wie können die Staaten sie korrigieren?

Weatherford: Ich würde das nicht als Tech-Schuld an sich bezeichnen. Das ist technologische Reife. Ich sehe dasselbe hier in Colorado und ich höre davon in anderen Staaten. Wo die Tech-Schulden auftauchen, ist die Finanzierung: Größtenteils gibt es immer noch eine Menge sehr alter Technologien, die heute eingesetzt werden und viel Geld kosten, um sie am Laufen zu halten. Und das ist übrigens nicht spezifisch für die Landes-, Bundes- und Kommunalverwaltungen, man sieht das auch bei vielen privaten Unternehmen.

Eines der deutlichsten Beispiele, das mit der Pandemie zusammenhängt, waren die Menschen, die sofort arbeitslos wurden. Als die Bundesregierung Mittel für die Arbeitslosenversicherung bewilligte, hatten viele Staaten sehr archaische Arbeitslosensysteme. Viele von ihnen sind immer noch COBOL-basierte Plattformen, was verrückt ist, denn sie mussten losziehen, um COBOL-Programmierer zu finden, die diese Systeme warten. Ich kenne niemanden, der COBOL überhaupt noch unterrichtet. Das ist ein sehr sichtbares Beispiel für Tech-Schulden.

Ein weiteres Beispiel aus dem privaten Sektor: das kleine Wasserwerk in Florida, das gehackt wurde. [2] In dieser Umgebung wurde Windows 7 eingesetzt, was übrigens nicht ungewöhnlich ist. Viele dieser kritischen Infrastrukturunternehmen verwenden immer noch diese Art von alter Technologie. Microsoft unterstützt Windows 7 nicht einmal mehr, was bedeutet, dass entdeckte Schwachstellen nicht leicht zu beseitigen sind. Es gibt nicht viel, was man dagegen tun kann, außer kompensierende Kontrollen anzuwenden.

Diese Art von technischer Verschuldung kostet eine Menge Geld und führt zu einem Risiko für das Unternehmen. Aber gleichzeitig können Unternehmen, die es sich nicht leisten können, aufzurüsten, es sich auch nicht leisten, aufzurüsten. Das ist die technologische Welt, in der wir leben, in der wir kompensierende Kontrollen einsetzen müssen, um das Risiko und die Schwachstellen in diesen alten Altsystemen zu verwalten. Und leider sind diese kompensierenden Kontrollen mit einem enormen Ressourcenaufwand verbunden.

Mimecast: In der Anfangsphase der Pandemie gab es einen Fokus auf die Lieferkette und wir sahen einen Anstieg der Ransomware-Angriffe. Steigt dadurch auch der Fokus auf die Cybersicherheit in der Logistik und Lieferkette?

Weatherford: Wenn wir von Lieferkette sprechen, denken die Leute oft an die physische Logistik, also daran, wie wir ein Produkt von Punkt A nach Punkt B bringen. Ich war auf einem Podium und habe darüber aus der Perspektive gesprochen: Wie stellt man sicher, dass die Software, die wir entwickeln, sicher ist? Nur sehr wenige Softwareentwickler setzen sich hin und schreiben ihren gesamten Code. Was sie tun, ist, dass sie zu Bibliotheken oder Repositories gehen und dort Teile des Codes hineinziehen und sie alle miteinander verknüpfen. Das ist eine enorme, enorme Schwachstelle, um zu verstehen, wo die Software ursprünglich entwickelt wurde und wie ein ganzes Paket aussieht.

Die NTIA [National Telecommunications and Information Administration] fördert eine Initiative mit dem Namen "Software Bill of Materials", die besagt, dass ein Unternehmen bei der Auslieferung eines Softwareprodukts eine Liste der Inhaltsstoffe oder ein Inventar der Herkunft des Codes mitliefert. [3] Das ist eines der Dinge, die dabei helfen werden, Softwareunsicherheiten in der Lieferkette zu beseitigen. SolarWinds hat uns jedoch auf sehr dramatische Weise bewiesen, dass die Lieferkette verwundbar ist. Wir kennen immer noch nicht die vollen Auswirkungen von SolarWinds, und das werden wir wahrscheinlich auch noch eine Weile nicht, aber es wird erheblich sein und viel Geld kosten und viel Zeit in Anspruch nehmen, um es vollständig in den Griff zu bekommen - falls wir es überhaupt jemals vollständig in den Griff bekommen.

Mimecast: Es scheint, als ob jeder darüber spricht, dass der Austausch von Informationen ein Teil des Aufbaus einer besseren Verteidigung sein sollte. Gibt es nach Ereignissen wie dem SolarWinds-Angriff oder dem gemeldeten nordkoreanischen Hack von Pfizer mehr Dringlichkeit?[4]

Weatherford: Wir können immer mehr tun, aber tun wir auch genug? Wahrscheinlich nicht. Ich weiß nicht, ob Sie den 60 Minutes-Bericht gesehen haben, in dem der Präsident von Microsoft im Wesentlichen sagte, dass wir mehr Informationen austauschen müssen, und dass es möglicherweise einer Regulierung bedarf, die Unternehmen dazu verpflichtet, mehr Informationen auszutauschen. [5] Meine Befürchtung, und ich denke, die vieler Leute in der Sicherheitsgemeinschaft, ist, dass SolarWinds nachlässt und wir dann einfach so weitermachen wie bisher, bis zum nächsten großen Verstoß. Das ist in etwa das, was wir in den letzten zehn Jahren getan haben: Wir taumeln von Ereignis zu Ereignis, ohne sie jemals wirklich zu beheben.

Ich denke, SolarWinds ist ein katalytisches Ereignis, weil es so viele Unternehmen, so viele große Unternehmen und so viele Regierungsorganisationen betroffen hat. Ich denke, die Regierung muss handeln. Sie werden einen regulatorischen Rahmen für die Berichterstattung und Sicherheitsstandards schaffen, der die Sicherheit im gesamten privaten Sektor formell erhöht.

Mimecast: Aber hatte die Bundesregierung nicht schon früher die Möglichkeit, dies zu tun?

Weatherford: Die Bundesregierung hatte schon mehrfach Gelegenheit, dies zu tun. Wir hatten den Verstoß gegen das Office of Personnel Management im Jahr 2015; das wurde damals als katalytisches Ereignis bezeichnet. Aber was ist passiert? Nichts, oder nicht viel ist passiert. Die Antwort lautet also: Ja, die Regierung hatte schon vorher viele Gelegenheiten.

Mimecast: Wie können Cybersicherheitsexperten proaktiver werden? Wie können sie zu einer strategischen Ressource werden?

Weatherford: Die meisten CISOs, die ich kenne, sehen es als Teil ihrer Aufgabe an, die Ansprechperson für Technologie und Sicherheit im Unternehmen zu sein. Ich denke jedoch, dass sie in viel zu vielen Organisationen nicht als geschäftskritisch angesehen werden, sondern eher als eine Art Nebendarsteller. Es werden immer noch zu viele technologische Entscheidungen getroffen, ohne das Sicherheitsteam zu konsultieren - meiner Meinung nach schlechte Entscheidungen. Das ist meiner Meinung nach eine schlechte Entscheidung, denn dann gibt es Technologien, die eingeführt und entwickelt werden und die man im Nachhinein mit Pflastern und Sicherheitsvorkehrungen versehen muss.

Das ändert sich ein wenig. Immer mehr Vorstände erkennen, dass sie mehr über Sicherheit wissen müssen, und sie verstehen, dass sie nicht der Experte sein werden. Ich denke jedoch, dass es immer noch ein Missverhältnis zwischen den Erwartungen gibt. Ich höre immer noch CEOs und Vorstandsmitglieder sagen: "Das ist die Verantwortung des CISOs." Ich bin immer schnell dabei, ihnen zu widersprechen und zu sagen: "Nein, das ist nicht die Verantwortung des CISOs. Es ist Ihre Verantwortung. Der CISO führt diese Verantwortung für Sie aus."

Mimecast: Beginnen Unternehmen zu verstehen, dass die Verantwortung für Daten zum Schutz des Unternehmens gehört?

Weatherford: Um es etwas klischeehaft auszudrücken: CEOs haben mehr und mehr Angst davor, den Cyber-Perp Walk zu machen, vor den Kongress gerufen zu werden oder vor den Vorstand zu treten und zur Verantwortung gezogen zu werden. Gartner hat einen Bericht veröffentlicht, der besagt, dass bis zum Jahr 2024 75 % der CEOs für Cybersecurity-Vorfälle finanziell haftbar gemacht werden. [6] Wenn wir an den Punkt kommen, an dem CEOs persönlich für die Sicherheit verantwortlich gemacht werden, dann werden wir eine stärkere Betonung der Sicherheit und mehr Unterstützung für die Sicherheitsorganisation sehen.

[1] "The Biden Administration's Cybersecurity Opportunity And Obligation," Forbes

[2] "Hacked Florida water plant reused passwords and had aging Windows installations," CNN

[3] "Software Bill of Materials," NTIA

[4] "North Korean hackers tried to steal Pfizer vaccine know-how, lawmaker says," Reuters

[5] "SolarWinds hack was 'largest and most sophisticated attack' ever: Microsoft-Präsident," Reuters

[6] "Gartner prognostiziert, dass bis 2024 75 % der CEOs persönlich für Cyber-Physical Security-Vorfälle verantwortlich sein werden," Gartner

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Alles über Advanced Persistent Threats und Schutz

Advanced Persistent Threats (APTs) sind k...

Fortgeschrittene hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) sind kostspielig und... Lesen Sie mehr >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Posted Apr 06, 2021

KI in der Cybersecurity: 6 Anwendungsfälle

Lernen Sie die vielen Anwendungen für KI in der Cy...

Lernen Sie die vielen Anwendungen für KI in der Cybersicherheit kennen, von de... Lesen Sie mehr >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Geschrieben Mar 31, 2021

Datensicherung vs. Archiv: Was ist der Unterschied?

Data backup and archiving are often assu…

Data backup and archiving are often assumed to be the same, … Read More >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Posted Mar 26, 2021