U.S.-Unternehmen im Zwiespalt über Cybersicherheitsverpflichtungen
Während die Bundesbehörden die Anforderungen an die Cybersicherheit in einigen Sektoren erhöht haben, zeigt eine Mimecast-Umfrage, dass die Unternehmen gemischte Gefühle gegenüber verbindlichen Mindeststandards haben.
Wichtige Punkte
- Die US-Regierung hat verbindliche Cybersicherheitsstandards für Regierungsbehörden, staatliche Auftragnehmer und kritische Infrastrukturakteure eingeführt.
- Ihre Initiativen werden wahrscheinlich die Messlatte für die Cybersicherheit über diese erste Verteidigungslinie hinaus erhöhen.
- Die im jährlichen State of Email Security (SOES) Report von Mimecast befragten Unternehmen sind zwiespältig gegenüber vorgeschriebenen Mindestsicherheitsanforderungen.
Angesichts der anhaltenden Cyberangriffe auf kritische Infrastrukturen und Software-Lieferketten in den USA haben die politischen Entscheidungsträger der USA selektiv Anforderungen an die Cybersicherheit in Schlüsselsektoren erlassen. Für viele Beobachter eröffnet dies die Aussicht, dass Mindeststandards für die Cybersicherheit flächendeckend angewendet werden könnten.[1]
In Mimecasts State of Email Security Report für 2022 äußern sich US-Unternehmen mit gemischten Gefühlen gegenüber solchen Vorschriften. Weniger als ein Drittel der Unternehmen ist der Meinung, dass Mindeststandards einen großen Unterschied in Bezug auf das Risiko, dem sie ausgesetzt sind, die Art und Weise, wie sie ihr Geschäft schützen oder wie viel sie dafür ausgeben, machen würden. Etwa die Hälfte sieht jedoch zumindest eine moderate Auswirkung in diesen und anderen Bereichen, wie unten beschrieben.
Washington beginnt mit der Festlegung von Mindestanforderungen an die Cybersicherheit
Im Mai dieses Jahres erließ Präsident Biden eine Durchführungsverordnung, in der er strengere Cybersicherheitsstandards innerhalb der Bundesregierung und bei ihren Auftragnehmern sowie eine verbesserte Sicherheit der Software-Lieferkette und die Erstellung eines Handbuchs für die Reaktion auf Cybervorfälle forderte. Seit dieser Ankündigung haben einige damit zusammenhängende Gesetze an Fahrt aufgenommen.
Im März dieses Jahres unterzeichnete Biden ein Gesetz, das Unternehmen mit kritischer Infrastruktur verpflichtet, Cyberangriffe und Ransomware-Zahlungen zu melden.[2] Inzwischen sind eine Reihe von Bundesministerien und -behörden dem Beispiel des Oberbefehlshabers gefolgt und haben neue Meldepflichten und Cybersicherheitsanforderungen für bestimmte Sektoren eingeführt. Im Gegensatz zum Cybersicherheitsrahmen des National Institute of Standards and Technology (NIST), der für Unternehmen freiwillig ist, sind diese neuen Initiativen verpflichtend und "setzen den Schritt der Regierung zu einem zunehmend regulatorischen Ansatz für die Cybersicherheit im privaten Sektor fort", so Rechtsexperten.[3]
Einige Beobachter in Washington sind der Meinung, dass diese höheren Erwartungen und neuen Standards für die Bundesregierung, ihre Zulieferer und die Akteure der kritischen Infrastrukturen wahrscheinlich auch auf den privaten Sektor übergreifen werden, so dass sich die Mindeststandards für die Cybersicherheit für alle nähern.
Ein Dominoeffekt
Im Januar begann die Biden-Administration mit der Festlegung von Zeitplänen für die in seiner Durchführungsverordnung festgelegten Anforderungen. Dieses Memo gab den Bundesministerien und -behörden 180 Tage Zeit, um eine Multi-Faktor-Authentifizierung und Verschlüsselung für klassifizierte Systeme zu implementieren, während dem Committee on National Security Systems (CNSS) 90 Tage Zeit gegeben wurde, um einen Cybersicherheitsrahmen für Systeme in der kommerziellen Cloud zu entwickeln, und dem Leiter jedes Ministeriums oder jeder Behörde 60 Tage Zeit gegeben wurde, um Pläne zu aktualisieren, um die Einführung von Cloud-Technologie und einer Null-Vertrauens-Architektur zu priorisieren.[4]
Dazwischen haben einige Ministerien und Behörden wichtige Schritte unternommen. Im Anschluss an ihre strengen Cybersicherheitsmandate speziell für Pipeline-Betreiber hat die Transportation Security Administration Richtlinien herausgegeben, die Luftfahrtunternehmen sowie Betreiber von Personen- und Güterbahnen dazu verpflichten, eine Reihe von Cybersicherheitsmaßnahmen umzusetzen, um Störungen und Beeinträchtigungen ihrer Infrastruktur zu verhindern.[5] Die Wertpapier- und Börsenaufsichtsbehörde (Securities and Exchange Commission) stimmte dafür, neue Anforderungen an das Cybersecurity-Risikomanagement für die Investmentbranche vorzuschlagen, ein Schritt, den eine Anwaltskanzlei als "die bedeutendste Aktualisierung des Bundesdatenschutzgesetzes" für diesen Sektor seit 20 Jahren bezeichnete.[6]
Was die Folgen für den privaten Sektor betrifft, so kündigte das US-Justizministerium eine Initiative an, die es ihm ermöglicht, ein bereits bestehendes Betrugsgesetz zu nutzen, um Unternehmen strafrechtlich zu verfolgen, die die bundesstaatlichen Cybersicherheitsstandards nicht einhalten oder ihre Bemühungen um deren Einhaltung falsch darstellen. Einige Branchenbeobachter sahen darin eine dramatische Wende des Justizministeriums, das nicht nur Privatunternehmen schützen will, die Opfer von Cyberangriffen werden, sondern auch diejenigen strafrechtlich verfolgen will, die sich nicht an die Cybersicherheitsvorschriften halten.[7] "Die Initiative nutzt die Kaufkraft der Bundesregierung, um die Messlatte für die Cybersicherheit höher zu legen", schrieben Rechtsexperten, "in der Hoffnung, dass die von den staatlichen Auftragnehmern angenommenen Standards schließlich auch von der Privatwirtschaft übernommen werden."
Unternehmen sehen steigende Kosten und weniger Autonomie
In der Vergangenheit waren private Unternehmen und öffentliche Einrichtungen weitgehend selbst für die Festlegung ihrer eigenen Cybersicherheitsrichtlinien verantwortlich, wobei sie von der Regierung Anleitung, Unterstützung und einige Standards erhielten. Während die Gründe für eine stärkere Beteiligung der Regierung und die Festlegung von Standards offensichtlich sind, sind die zu erwartenden Auswirkungen auf private Unternehmen weniger klar. So beschreiben es die Befragten in den USA im Bericht State of Email Security :
- Cybersecurity-Risiko: Nur 31 % der Umfrageteilnehmer in den USA glauben, dass staatlich vorgeschriebene Mindestsicherheitsstandards eine erhebliche Auswirkung auf die Verringerung des Risikos von Cyberangriffen auf ihr Unternehmen haben würden. Vier von zehn Befragten sind der Meinung, dass die Auswirkungen mäßig wären, und fast ein Viertel (23 %) ist der Meinung, dass derartige Anforderungen nur geringe Auswirkungen hätten.
- Cyber-Resilienz: Ebenso geben nur drei von zehn Befragten in den USA an, dass staatlich verordnete Mindestsicherheitsstandards zu großen Verbesserungen der Cyber-Resilienz ihres Unternehmens führen würden. Fast die Hälfte der Befragten gab an, dass die Vorschriften zu mäßigen Verbesserungen ihres allgemeinen Cybersicherheitsprofils führen würden, während 17 % sagten, dass sie nur zu minimalen Veränderungen führen würden.
- Sicherheitsbudget: Mehr als ein Viertel (28 %) der Befragten gibt an, dass Auflagen ihre Kosten erheblich erhöhen würden, während 46 % davon ausgehen, dass derartige Anforderungen die Kosten nur mäßig erhöhen würden. Zwei von zehn Befragten gaben an, dass sich Mindestanforderungen nur geringfügig auf ihr Cybersicherheitsbudget auswirken würden.
- Cyber-Strategie: Mehr als ein Viertel (28 %) der US-Befragten gibt an, dass vorgeschriebene Mindestsicherheitsniveaus die Freiheit ihres Unternehmens bei der Festlegung der besten Vorgehensweise als Reaktion auf Cyber-Bedrohungen stark einschränken würden, während 43 % der Meinung sind, dass dies ihre Autonomie mäßig beeinträchtigen würde, und 18 % sagen, dass dies nur minimale Auswirkungen auf ihre Selbstbestimmung in Bezug auf Cybersicherheitsmaßnahmen hätte.
- Engagement des Vorstands und der Führungsebene: Fast drei von zehn Umfrageteilnehmern (29 %) sind der Meinung, dass vorgeschriebene Mindestanforderungen das Interesse von Unternehmensleitern an der Verbesserung der Cybersicherheit in ihren Unternehmen erheblich steigern könnten. Die Hälfte der Befragten ist der Meinung, dass eine solche Gesetzgebung das Interesse der Unternehmensleiter mäßig steigern würde, und 15 % sind der Meinung, dass dies ihre Aufmerksamkeit nur wenig erhöhen würde.
Die Quintessenz
Es bleibt abzuwarten, ob diese sich entwickelnden staatlichen Anforderungen zu verbindlichen Mindestsicherheitsanforderungen für ein breiteres Spektrum von Privatunternehmen führen werden. In der Zwischenzeit erwarten Experten eine verstärkte Prüfung der Cybersicherheitsmaßnahmen von Unternehmen - insbesondere von solchen, die direkt mit der Regierung zusammenarbeiten oder Teil der IT-Lieferkette sind. Lesen Sie mehr darüber, wie Unternehmen auf diese und andere Cybersecurity-Ereignisse reagieren, im Bericht von Mimecast State of Email Security for 2022.
[1] "Cybersecurity and data privacy foresight 2022," Reuters
[2] "With Eye to Russia, Biden Administration Asks Companies to Report Cyberattacks," New York Times
[3] "TSA Rail Cybersecurity Directives Show Increasing Government Regulation of Critical Infrastructure and the Private Sector," Wiley
[4] "Memorandum zur Verbesserung der Cybersicherheit von Systemen der nationalen Sicherheit, des Verteidigungsministeriums und der Geheimdienste," Weißes Haus
[5] "TSA erhebt neue Cybersicherheitsanforderungen für den Schienen- und Luftverkehr," Inside Privacy
[6] "SEC Proposes New Cybersecurity Rules for SEC Registered Advisers and Funds," Dechert LLP
[7] "Cybersecurity and data privacy foresight 2022," Reuters
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!