CISA präsentiert Cybersicherheitsziele für kritische Infrastrukturen

Auf Ersuchen des Weißen Hauses hat die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) kürzlich freiwillige, sektorübergreifende Leistungsziele für die Cybersicherheit veröffentlicht. Das von Präsident Biden im Juli 2021 herausgegebene Memorandum zielte darauf ab, die nationale Cybersicherheit für Systeme zur Steuerung von Infrastrukturen in allen kritischen Sektoren zu erhöhen.

Die Entwicklung der Ziele erfolgte in Zusammenarbeit mit dem US National Institute of Standards and Technology (NIST) sowie Vertretern der betroffenen Branchen. Gemeinsam haben die Experten ein Standardpaket erarbeitet, das grundlegende Handlungsempfehlungen in Bezug auf die Cybersicherheit kritischer Infrastrukturen formuliert. Es soll kleinen und mittelgroßen Organisationen bei der Umsetzung von Sicherheitsmaßnahmen helfen.

Die sogenannten Cybersecurity Performance Goals (CPGs) legen Prioritäten für die Cybersicherheit von IT- und OT-Systemen fest, die von Eigentümern und Betreibern kritischer Infrastrukturen umgesetzt werden können. Ziel ist es, die Risiken und Auswirkungen von Angriffen deutlich zu verringern. „Durch die Verfolgung dieser Ziele werden die Risiken für den Betrieb kritischer Infrastrukturen und die amerikanische Bevölkerung verringert“, so die CISA.

Die Ziele basieren auf umfangreichem Feedback von verschiedenen Stakeholdern, einschließlich Bundesbehörden, dem privaten Sektor und internationalen Partnern: Einbezogen wurden nicht nur Kommentare, sondern auch die Ergebnisse von Workshops, Anhörungen und Diskussionen mit Experten verschiedener Fachrichtungen. Die CPGs sind daraufhin unter Berücksichtigung dieser drei Anforderungen entstanden:

(1) Sie müssen die Risiken und Auswirkungen, die durch häufige sektorübergreifende Bedrohungen und gegnerische TTP verursacht werden, deutlich und direkt reduzieren;

(2) Sie müssen klar, praktisch und leicht definierbar sein;

(3) Die Maßnahmen sollten einfach und wirtschaftlich umsetzbar sein – selbst für kleine und mittlere Organisationen.

Nach der initialen Ausformulierung ist das Thema CPGs aber noch lange nicht abgeschlossen: Die CISA beabsichtigt, weiterhin im Dialog zu bleiben – insbesondere mit Organisationen, die die Vorgaben in der Praxis anwenden. So sollen die Ziele regelmäßig auf Umsetzbarkeit geprüft und aktuell gehalten werden. Die CISA beabsichtigt außerdem, in den kommenden Monaten Zielvorgaben für spezifische Sektoren kritischer Infrastrukturen zu entwickeln und zusätzliche Möglichkeiten zu identifizieren. Zudem ist geplant, Beispiele für sektorspezifische Handlungsempfehlungen zu liefern und andere potenzielle Anforderungen, wie Vorschriften oder Sicherheitsrichtlinien, zu erfassen.

So können die CPGs als Maßstab für Betreiber kritischer Infrastrukturen dienen, die ihr Standing im Bereich der Cybersicherheit messen und auch verbessern wollen.

Die CISA weist darauf hin, dass diese Ziele keinen Anspruch auf Vollständigkeit haben. Zudem zeigen sie bei Weitem nicht alle Cybersicherheitsmaßnahmen auf, die zum Schutz der nationalen, wirtschaftlichen, gesundheitlichen und öffentlichen Sicherheit erforderlich sind. Es handelt sich lediglich um eine Reihe grundlegender Maßnahmen zur Verringerung fundamentaler Risiken. Die Behörde betont auch, dass die CPGs freiwillig sind. Das bedeutet: Eigentümer und Betreiber sind nicht verpflichtet, sie zu übernehmen – geschweige denn, entsprechende Berichte an eine Regierungsbehörde zu senden.

„Die CPGs sollen das NIST-Rahmenwerk für die Cybersicherheit in Organisationen ergänzen, die Unterstützung bei der Priorisierung begrenzter, hochwirksamer Sicherheitsinvestitionen suchen. Ausschlaggebender Punkt sind entweder mangelnde Erfahrung, Ressourcen oder Fähigkeiten. Daneben sollen die CPGs eine Orientierungshilfe für Unternehmen liefern, die gemeinsam mit Lieferanten, Geschäftspartner oder Kunden höhere Sicherheitsstandards etablieren möchten“, erklärt die CISA.

In einem Interview mit CSO äußerten sich mehrere Experten positiv über die CISA-Initiative. Einer der Befragten ist Mark Montgomery, leitender Projektdirektor des Zentrums für Cyber- und Technologieinnovation bei der Foundation for Defense of Democracies (FDD). Er stellte fest, dass CPGs „wirklich wichtig für kleine und mittlere Unternehmen“ sind. Seiner Meinung nach benötigen große Unternehmen in der Regel weniger allgemeine Unterstützung, wie sie die CPGs enthalten. „Aus diesem Grund glaube ich, dass die ausformulierten Ziele besonders für die große Anzahl an KMU von Wert sind“, sagt er.

Ein interessanter Punkt, auf den der CSO-Artikel verweist: Auch wenn die CISA betont, dass die CPGs freiwillig sind, gehen doch Gerüchte zu einem Memo des Weißen Hauses um. Demnach könnten die Ziele in Zukunft womöglich doch zu regulatorischen Anforderungen führen.