Präsident Biden führt neue staatliche Cybersicherheitsanforderungen ein

Dritte Softwareanbieter müssen die Einhaltung neuer Anforderungen nachweisen

Die Bundesregierung muss standardmäßig End-to-End-Verschlüsselung verwenden

In einer seiner letzten Amtshandlungen als Präsident der Vereinigten Staaten hat Joe Biden eine Exekutivanordnung unterzeichnet, die darauf abzielt, die nationale Cybersicherheit der USA zu stärken. Die Anordnung legt eine Reihe von Überprüfungen und Prüfungen für Drittanbieter von Software für Regierungssysteme und kritische Infrastrukturen fest, um sicherzustellen, dass sie sich an etablierte Cybersicherheitsstandards halten und aktiv daran arbeiten, vorhandene Schwachstellen zu beseitigen. Die Exekutivanordnung geht davon aus, dass die Volksrepublik China die Hauptbedrohung für gefährdete Netzwerke darstellt, wahrscheinlich in Bezug auf zahlreiche Angriffe gegen US-kritische Infrastrukturen Anfang 2024 durch die chinesische staatlich unterstützte Gruppe Volt Typhoon und nachfolgende Angriffe gegen US-Telekommunikationsnetze durch die Gruppe.

Neue Sicherheitsstandards

„Ich ordne zusätzliche Maßnahmen an, um die Cybersicherheit unseres Landes zu verbessern, wobei der Schwerpunkt auf der Verteidigung unserer digitalen Infrastruktur, der Sicherung der Dienste und Fähigkeiten, die für die digitale Domäne am wichtigsten sind, und dem Aufbau unserer Fähigkeit zur Bekämpfung von Schlüsselbedrohungen liegt“, so die Anordnung von Präsident Biden. Sie baut auch auf den bereits in der Exekutivanordnung zur Verbesserung der Cybersicherheit des Landes aus dem Jahr 2021 festgelegten Anforderungen auf und implementiert strengere Sicherheitsüberprüfungen von Drittanbietern, um sicherzustellen, dass „Softwareanbieter, die kritische Regierungsdienste unterstützen, die Praktiken einhalten, zu denen sie sich bekennen“. Drittanbieter müssen daher regelmäßig nachweisen, dass ihre Software und Lieferketten sicher sind, wobei das vertragsabschließende Amt über diejenigen informiert wird, die die Sicherheitsanforderungen nicht erfüllen. Die Bundesregierung ist auch verpflichtet, Identitätsmanagement-Software, phishingresistente Authentifizierung und standardmäßig End-to-End-verschlüsselte Kommunikation über DNS-Protokolle, E-Mail, Sprach- und Videokonferenzen sowie Instant Messaging anzunehmen. Biden beabsichtigt außerdem, der zukünftigen Bedrohung durch kryptanalytisch relevante Quantencomputer (CRQC) entgegenzuwirken, die, wenn sie einsatzbereit sind, in der Lage sein werden, viele der heute verwendeten Verschlüsselungsalgorithmen zu brechen. US-Behörden werden verpflichtet sein, quantensichere Verschlüsselungsmethoden anzuwenden, die vom National Institute of Standards and Technology (NIST) autorisiert sind.