Die USA drängen die Bürgermeister, sich mit den Staaten über die Cyber-Position zu beraten, aber kann mehr getan werden?

  • Die stellvertretende Nationale Sicherheitsberaterin für Cyber und aufkommende Technologien Anne Neuberger spricht bei einem Pressebriefing im Weißen Haus im vergangenen Februar. (Foto: Drew Angerer/Getty Images)

    Mitglieder der US-Bürgermeisterkonferenz trafen sich diese Woche virtuell mit der stellvertretenden nationalen Sicherheitsberaterin für Cyber und aufkommende Technologie Anne Neuberger, die sie über die aktuelle Ransomware-Epidemie beriet und forderte, dass die Stadtoberhäupter “die Leiter der staatlichen Behörden zusammenrufen, um ihre Cybersicherheitslage und Kontinuitätspläne zu überprüfen”, so eine Pressemitteilung des Weißen Hauses.

    Cyber-Vordenker waren schnell, um die Bedeutung der kontinuierlichen Zusammenarbeit zwischen Bund, Ländern und lokalen Jurisdiktionen anzuerkennen, obwohl mehrere CISOs vorgeschlagen, dass es nicht zu viel Neuland abgedeckt und empfohlen, wie die Bundes- und Landesregierungen und die Privatwirtschaft könnte noch mehr tun, um überforderte Gemeinden zu unterstützen.

    Mike Hamilton, Gründer und CISO von CI Security und ehemaliger CISO von Seattle, sagte gegenüber SC Media, dass er glaubt, dass die Unterstützung von Bürgermeistern durch staatliche Behörden “wahrscheinlich ein trockener Brunnen” ist, aufgrund einer Mischung aus Umständen und restriktiven Richtlinien. “Staaten haben ihre eigenen Probleme mit der IT-Sicherheit, und vielen staatlichen Regierungen ist es verboten, Dienstleistungen für lokale Regierungen anzubieten, da sie nicht in der Lage sein können, mit dem privaten Sektor zu konkurrieren”, sagte er.

    Hamilton sagte auch, dass die aktuelle Bundesstrategie zur Eindämmung von Ransomware “könnte auch [be] spezifischer darauf eingehen, wie die öffentliche Politik im Kampf helfen kann… Zum Beispiel könnte die Bundesregierung die kränkelnde Versicherungsindustrie als Rückversicherer unterstützen und dies mit einem Verbot der Zahlung von Lösegeld sowie der Arbeit an der Deanonymisierung von Kryptowährungstransaktionen kombinieren. Das hätte den Effekt, das Geschäftsmodell der Ransomware-Banden zu brechen und sie dazu zu bringen, auf weichere Ziele auszuweichen.”

    Dennoch, auch wenn die US-Bürgermeisterkonferenz “vielleicht mehr von der Bundesregierung erwartet hat, scheint die Verlesung eine Wiederholung der bestehenden Unterstützung und eine weitere Ermahnung zu sein, Netzwerke zu sichern”, bemerkte Hamilton. “Die Bundesregierung war schon immer bereit, als Antwortgeber und als kostenloser Anbieter von Risikobewertungen – daran hat sich nichts geändert.”

    Gary Hayslip, derzeitiger CISO bei SoftBank Investment Advisers und ehemaliger CISO von San Diego, sagte ebenfalls, er sehe “nichts Neues”, das die Führung der US-Stadt überraschen würde.

    “Viele der Empfehlungen der Verwaltung sind Best Practices, die die Privatwirtschaft befolgt, aber leider tun das viele Kommunen nicht”, sagte Hayslip. “Als ich vier Jahre lang als CISO für die Stadt San Diego tätig war, lag der Schwerpunkt auf der Bereitstellung von Dienstleistungen für den Kunden (Bürger), der seine Stimme abgibt. Cybersecurity war damals nicht so sexy wie das Management von Obdachlosenproblemen, die Erweiterung des Kongresszentrums oder das Auffüllen von Schlaglöchern.”

    Und während sich die Privatwirtschaft oft gezwungen sieht, Sicherheitsprotokolle innerhalb ihrer Mauern zu implementieren, um regulatorische Anforderungen zu erfüllen oder Kunden und Investoren zufrieden zu stellen, gibt es für eine Kommune nicht annähernd so viel Anreiz, und der Staat wird in solchen Angelegenheiten oft nicht sinnvoll helfen.

    Als CISO der Stadt San Diego “gab es zum Beispiel Zeiten, in denen der Staat Kalifornien den Kommunen empfahl, bestimmte Best Practices für die Sicherheit zu befolgen, wie z. B. CIS20 als Grundgerüst für das Risikomanagement zu verwenden. Da der Staat jedoch keine Mittel für neue Sicherheitsinitiativen bereitstellt, sondern nur Empfehlungen ausspricht, wird keine Stadt, kein Landkreis oder keine Gemeinde wirklich für die Verbesserung ihres internen Sicherheitsprogramms, ihrer Kontrollen oder deren Fehlen zur Verantwortung gezogen”, erklärt er.

    Daher muss die Bundesregierung letztendlich möglicherweise noch mehr in die Bresche springen, und es müssen Anreize für die staatliche und private Industrie geschaffen werden, damit sie mehr in den Cybersicherheitsstatus ihrer Städte und Gemeinden investiert, so Hayslip.

    “Was sich ändern muss, ist, dass die Kommunen die Sicherheitsprodukte und -dienste kennen müssen, die von DHS/CISA und den lokalen Law Enforcement Coordination Centers (LECCs) angeboten werden, und ihre CISOs ermächtigen müssen, diese Dienste in die aktuellen Sicherheitsprogramme zu integrieren”, sagte Hayslip. “Dann sollten die Kommunen auch prüfen, welche lokalen Dienste und Partnerschaften zur Verfügung stehen, um ihre Bemühungen zur Verbesserung ihres Sicherheitsprogramms fortzusetzen, wie z. B. die Zusammenarbeit mit lokalen Sicherheitsunternehmen, Start-ups und mögliche Partnerschaften mit anderen Kommunen.”

    “Schließlich denke ich, dass die Staaten etwas Haut im Spiel haben müssen, indem sie die staatliche Infrastruktur/Netzwerke bewerten und von den Städten verlangen, dass sie ebenfalls bewerten, indem sie ein ausgewähltes Rahmenwerk wie das NIST CSF verwenden, und dann … mit der Bundesregierung und der Privatwirtschaft zusammenarbeiten, um ihre Cyber-Berichtskarte zu verbessern.”

    Saumitra Das, CTO und Mitbegründer von Blue Hexagon, betonte, wie wichtig es ist, dass staatliche, lokale und Bildungsabteilungen zusätzliche Schritte unternehmen, um sich besser gegen Ransomware zu verteidigen, “da viele von ihnen auch die Infrastruktur kontrollieren und verwalten, die angegriffen werden kann.”

    “Wir haben aus erster Hand erfahren, wie staatliche und kommunale Budgets im Jahr 2020 durch COVID-bedingte Ausgaben belastet wurden, und sie konnten keine Sicherheitsprodukte kaufen oder Mitarbeiter einstellen, die sie bereits eingeplant hatten. Diese Tatsache in Kombination mit dem zunehmenden Ansturm sowohl von nationalstaatlichen als auch von kriminellen Banden-Bedrohungsgruppen erfordert nicht die sofortige Bewertung der Sicherheitslage, sondern tatsächliche Investitionen in Cyber-Personal und die Anschaffung neuerer Technologie, um die Ransomware-Epidemie zu bekämpfen.”

    Trotz dieser konstruktiven Kritik lobten andere Experten Neubergers Bemühungen, die Kommunikation mit US-Städten aufrechtzuerhalten, da die Bedrohung durch Ransomware gegen städtische Behörden und Schulbezirke neue Höhen erreicht.

    “Annes Anweisungen zur Unterbrechung des Ransomware-Prozesses sind für den Erfolg staatlicher und lokaler Regierungen bei der Reduzierung der Wirksamkeit von Ransomware-Angriffen von entscheidender Bedeutung”, sagte Sebron Partridge, ehemaliger CISO von Riverside County und Sicherheitsstratege bei der Cyber-Risiko-Firma Epiphany Systems. “Die Vereinigten Staaten haben im April 2021 die Ransomware and Digital Extortion Task Force des DOJ gegründet. Diese Organisation beschlagnahmte 64 von 75 Bitcoin Lösegeld, die von einem US-Unternehmen an das kriminelle Unternehmen DarkSide gezahlt wurden. Dies und viele Entwicklungen in der Nutzung und dem Verständnis der Verfolgung von Kryptowährungen werden die Fähigkeit krimineller Unternehmen, Kryptowährungen als anonymes Geldvehikel zu nutzen, zunehmend reduzieren.”

    “Neuberger verfolgt einen richtigen, proaktiven Ansatz gegen die eskalierenden Cyber-Bedrohungen, denen die Infrastruktur dieser Nation ausgesetzt ist”, fügte Richard Blech, Gründer von XSOC Corp. hinzu. “Nicht nur müssen US-Bürgermeister die Initiative ergreifen, um Tech-Unternehmen innerhalb ihrer Gemeinde zu motivieren, Projektpläne mit Meilensteinen für die Lieferung von Lösungen zu erstellen, sondern [they] sollten mit allen anderen Bürgermeistern zusammenarbeiten und deren Ergebnisse und Lösungen teilen. Auf diese Weise wird ein besserer Zusammenhalt zwischen den Gemeinden im ganzen Land erreicht, was eine viel effektivere Reaktionszeit ermöglicht, wenn ein Vorfall an anderen Orten auftritt.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com