US-Behörden sollen kritische Software ausfindig machen

  • Das Weiße Haus hat Bundesbehörden angewiesen, alle kritische Software in ihren Systemen zu identifizieren und zu sichern.

    Die Anweisung wurde am 10. August in einem Memo der amtierenden Direktorin des Office of Management and Budget, Shalanda Young, an die Leiter der Exekutivabteilungen und -behörden herausgegeben. Den Empfängern wurde eine Frist von 60 Kalendertagen ab dem Datum der Veröffentlichung des Memos eingeräumt, um die kritische Software zu bestimmen.

    Dem Memo zufolge wird ein Großteil der Software, auf die sich die Bundesregierung bei der Erfüllung ihrer kritischen Aufgaben verlässt, “kommerziell in einem oft undurchsichtigen Prozess entwickelt, der möglicherweise nicht ausreichend kontrolliert wird, um die Schaffung und Ausnutzung erheblicher Sicherheitslücken in Anwendungen zu verhindern”.

    Young schreibt, dass diese Situation dazu geführt hat, “dass es dringend notwendig ist, strengere und vorhersehbare Mechanismen einzuführen, um sicherzustellen, dass die Produkte in der vorgesehenen Weise sicher funktionieren.”

    In dem Memo verweist Young auf die vom National Institute of Standards and Technology (NIST) herausgegebenen Leitlinien zur Definition von kritischer Software.

    Eine von Präsident Joe Biden am 12. Mai 2021 erlassene Anordnung zur Verbesserung der Cybersicherheit der Nation wies das NIST an, eine Definition des Begriffs “kritische Software” zu veröffentlichen.

    Die daraus resultierende Definition von kritischer Software, die vom NIST im Juni veröffentlicht wurde, beschreibt sie als “jede Software, die eine oder mehrere Komponenten mit mindestens einem der folgenden Attribute hat oder von ihnen direkt abhängig ist:

    – ist so konzipiert, dass sie mit erhöhten Rechten läuft oder Rechte verwaltet;

    – direkten oder privilegierten Zugang zu Netzwerk- oder Computerressourcen hat;

    – ist dazu bestimmt, den Zugang zu Daten oder Betriebstechnik zu kontrollieren;

    – eine für das Vertrauen kritische Funktion ausübt; oder,

    – arbeitet außerhalb der normalen Vertrauensgrenzen mit privilegiertem Zugriff.”

    Nachdem sie ihre kritische Software identifiziert haben, haben die Behörden ein Jahr Zeit, um die vom NIST beschlossenen Sicherheitsmaßnahmen für kritische Software umzusetzen.

    “Die Vereinigten Staaten sehen sich mit immer raffinierteren bösartigen Cyber-Kampagnen konfrontiert, die den öffentlichen Sektor, den privaten Sektor und letztendlich die Sicherheit und die Privatsphäre der amerikanischen Bevölkerung bedrohen”, heißt es in dem Memo.

    “Die Bundesregierung muss ihre Bemühungen verbessern, diese Kampagnen und ihre Täter zu erkennen, zu identifizieren, abzuschrecken, zu schützen und darauf zu reagieren.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com