Der Gesetzgeber arbeitet an einem Gesetz, das Unternehmen verpflichtet, das FBI bei Sicherheitsverletzungen zu alarmieren, doch es gibt noch einige Hürden

Cyber Security News

Nach zwei großen Anhörungen zum Thema Solarigate rückte ein innenpolitischer Vorschlag ins Rampenlicht: die Verpflichtung von Unternehmen, die Regierung im Interesse der nationalen Sicherheit über größere Cyber-Vorfälle zu informieren. Experten sagen, dass die Idee gut ist – wenn die Gesetzgeber das Versprechen mit der potenziellen Haftung und Belastung der Industrie abwägen können.

Die SolarWinds-Affäre, bei der ein mutmaßlich russischer Akteur bösartige Updates in der SolarWinds IT-Plattform und andere Vektoren nutzte, um mehrere Regierungsbehörden und Privatunternehmen zu hacken, kam ans Licht, als FireEye sich öffentlich als Opfer meldete.

Aber was wäre, wenn sie sich entschieden hätten, dies nicht zu tun? Es gibt derzeit kein Gesetz, das FireEye oder ein anderes Unternehmen dazu verpflichtet, die Regierung öffentlich oder privat zu warnen. Viele glauben, dass dies der Fall sein sollte.

“Dieses Thema wurde schon früher behandelt. Und ich denke, es gibt jetzt viel mehr Schwung”, sagte Christian Auty, ein Partner in der Datenschutz- und Sicherheitspraxis von Bryan Cave Leighton Paisner.

In der Tat schlagen Gesetzgeber aus beiden Kammern und beiden Parteien irgendeine Form der Gesetzgebung vor. Zeugen von FireEye, Microsoft, CrowdStrike und SolarWinds stimmten alle darin überein, dass dies eine solide Idee sei. Aber mehrere Probleme sind sofort ersichtlich – Haftung, Anonymität, Breite und Vertrauen. SC Media sprach mit Rechts-, Regierungs- und Sicherheitsexperten, um die Hindernisse und mögliche Lösungen zu verstehen.

Fortschritte auf dem Weg zu einem Gesetzentwurf

Rep. Michael McCaul, R-Texas, sagte in der Anhörung des Repräsentantenhauses im Februar, dass er und Sen. Jim Langevin, D-R.I., bereits an einer Offenlegungsvorlage arbeiten.

“Herr Langevin und ich arbeiten an einer obligatorischen Benachrichtigung über Verstöße [or] Cyber-Eingriffen”, sagte er. “Dies kann getan werden, indem Quellen und Methoden und Firmennamen herausgenommen werden, um sie zu schützen. Da Sie eine Pflicht gegenüber den Aktionären haben, würden sie einfach nur Bedrohungsinformationen selbst” an die Cybersecurity and Infrastructure Security Agency senden”, erklärte er.

Langevins Büro sagte SC Media, dass es tatsächlich wahrscheinlich zwei Benachrichtigungsgesetze geben würde, die zwei Empfehlungen des Cybersecurity Solarium-Berichts entsprechen. Eines würde sich eng auf Vorfälle konzentrieren, die mit der nationalen Sicherheit zu tun haben und die Art von spezifischen Informationen liefern, die CISA nutzen könnte, um laufende Kampagnen von Nationalstaaten abzuwehren. Die andere würde eine allgemeine Benachrichtigung der Federal Trade Commission über Sicherheitsverletzungen vorschreiben, um Unterstützung bei der Einhaltung von Vorschriften und Datenschutzgesetzen zu erhalten.

Ersteres wäre die neueste Iteration der Art von föderaler Benachrichtigung über Vorfälle, von der die Gesetzgeber hoffen, dass sie den nächsten Angriff im Ausmaß von SolarWinds im Keim ersticken würde. Aber es wäre nicht die erste. Ein weiterer Gesetzesentwurf, der die Offenlegung solcher Verstöße gegenüber der Bundesregierung erleichtern sollte, wurde 2012 von Susan Collins, R-Maine, und dem damaligen Senator Joe Lieberman, I-Conn, eingebracht.

Dieser Versuch scheiterte letztendlich. Aber die jüngsten Ereignisse könnten zu alternativen Lösungen inspirieren, sagte Auty, um Organisationen zu ermutigen, sich zu melden, ohne vollen Haftungsschutz zu bieten. McCaul erwähnte in der Tat ausdrücklich anonyme Meldungen. Aber Organisationen könnten diese Lösungen allein nicht ausreichend finden.

“Es wird immer noch Bedenken von Seiten des Unternehmens geben, dass dies zu mir zurückverfolgt wird”, sagte Auty. “Und wenn das passiert, werde ich vertragliche und andere Verpflichtungen haben. Anonymes Reporting ist als Teillösung wertvoll, aber funktional anonymes Reporting ist vielleicht nicht in allen Situationen möglich.”

Identifizierung einer Verrechnungsstelle

Gesetzgeber könnten auf die Skepsis der Industrie stoßen, wie die Regierung Daten nutzt, sagte Tobias Whitney, Vizepräsident für Energie bei Fortress, einer Firma, die Lösungen für den Informationsaustausch in der Industrie anbietet. Dies ist wahrscheinlicher, wenn die Gesetzgebung die Benachrichtigung einer Strafverfolgungsbehörde oder einer Regulierungsbehörde vorschreibt, im Gegensatz zu CISA oder Homeland Security, die als neutralerer Vermittler angesehen werden können.

Selbst CISA hat nicht das Maß an Vertrauen in die Industrie, das die branchenspezifischen Information Sharing and Analysis Centers haben, so Whitney.

“Im Moment bin ich mir nicht sicher, ob die Industrie die CISA als Drehscheibe wahrnimmt.”

Die Wahrnehmung der Industrie – und sehr wahrscheinlich auch die Realität, so Whitney – ist, dass branchenspezifische Gruppen besser in der Lage sind, den Kontext der Daten, die ausgetauscht werden, zu verstehen. ISACs sind auch traditionell besser darin, verwertbare Informationen an ihre Mitglieder weiterzugeben als die Regierung. Whitney schlägt vor, dass die beste Lösung vielleicht darin bestünde, die Berichterstattung nicht an Washington, sondern an die Branchengruppen zu delegieren, die die Informationen gegebenenfalls weiterleiten würden.

“Vielleicht ist CISA nicht unbedingt das ganze Rad. Vielleicht sind sie eher eine Speiche, die das Rad leitet und sicherstellt, dass es eine horizontale Kommunikation mit den anderen Sektoren gibt”, sagte er.

Der Einsatz von ISACs als erste Clearingstellen für Informationen könnte ein weiteres Problem lösen, das bei der Anhörung angesprochen wurde: Nicht alle Organisationen sind in der Lage, die Nuancen zu verstehen, ob ihr spezifischer Cybervorfall das Niveau einer nationalen Sicherheitskatastrophe erreicht. Angesichts der Anzahl von Cyber-Vorfällen pro Jahr muss jemand das Signal aus dem Rauschen herausfiltern, damit dies ein nützliches Werkzeug ist. ISACs könnten dieser Filter sein.

Das Problem des Filterns ist die Kehrseite eines anderen Problems, das bei der Anhörung angesprochen wurde – die Begrenzung der regulatorischen Belastung von Unternehmen. Die Berichterstattung ist mit Kosten für Unternehmen verbunden. Wenn ein Teil der Daten wertlos ist, wurden diese Kosten ohne Grund ausgegeben.

Brad Smith, Präsident bei Microsoft, schlug bei der Anhörung vor, dass es am meisten Sinn machen würde, die Berichtspflichten auf bestimmte Branchen und Infrastrukturen zu beschränken. Große Tech-Firmen, wie seine, sagte er, wären ein No-Brainer.

Kevin Mandia, Geschäftsführer von FireEye, fügte bei der Anhörung hinzu, dass eine Meldepflicht für “First Responder” ebenfalls sinnvoll wäre. First Responder – Auftragnehmer, die auf Vorfälle reagieren oder telemetrische Daten analysieren – haben ein gutes Verständnis dafür, welche Aktivitäten auf einen Nationalstaat hindeuten könnten.

Mandia schlug auch vor, dass alle davon profitieren könnten, wenn kleine und mittlere Unternehmen von der Meldepflicht befreit würden. Unternehmen ohne große Verteidigungskapazitäten wüssten möglicherweise nicht, was sie bei einem Verstoß zu erwarten hätten, und könnten durch eine Meldung mehr Panik als Nutzen verursachen.

Aber Kiersten Todt, Geschäftsführerin der Interessengruppe für Cybersicherheit für kleine Unternehmen, dem Cyber Readiness Institute, widersprach diesem Argument.

“Kein Unternehmen sollte nicht ermutigt oder gebeten oder reguliert werden, Informationen zu teilen, wenn sie verletzt wurden”, sagte sie gegenüber SC Media. Bei zunehmend vernetzten Lieferketten würde der Ausschluss der am stärksten gefährdeten Ziele zu blinden Flecken führen, die sich auf alle Branchen auswirken könnten.

Todt, ein Veteran mehrerer Regierungsämter für Heimatschutz und Cybersicherheit, argumentierte, dass das Risiko, Panik auszulösen, nur besteht, wenn Unternehmen an die Presse gehen – nicht, wenn Unternehmen anonym und heimlich an die Regierung berichten.

Sie schlägt vor, in die Infrastruktur zu investieren, um kleinen Unternehmen zu helfen, Netzwerke zu bewerten, um Verstöße besser zu erkennen. Das könnte in Form von staatlicher Hilfe oder Industriegruppen geschehen.

“Sie sagen vielleicht, dass kleine Unternehmen diese zusätzliche Belastung nicht brauchen. Ich stimme zu, dass sie keine zusätzliche Belastung brauchen. Aber wir müssen ihnen die Möglichkeit geben, ein Teil der globalen Infrastruktur zu sein”, sagte sie und fügte hinzu, dass eine angemessene Unterstützung auch die allgemeine Akzeptanz fördern würde.

“Ich glaube nicht, dass irgendein Unternehmen von einem Nationalstaat erfährt und es für sich behalten will”, sagte sie.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com