Cyberwar: Wie die USA ihre Infrastruktur endlich absichern wollen
Immer wieder kommt es zu großen Attacken auf Unternehmen, Behörden und Privatleute. In Zeiten des Ukraine-Kriegs sollen nun Nägel mit Köpfen gemacht werden.
(Bild: Sashkin/Shutterstock.com)
- Patrick Howell O'Neill
Ein Hackerangriff auf die Colonial Pipeline, die wichtigste Benzininfrastruktur der Vereinigten Staaten, führte im Jahr 2021 dazu, dass Tausende von Amerikanern in Panik gerieten und an der gesamten US-Ostküste Treibstoffmangel herrschte. Grundlegende Fehler in der Cybersicherheit erlaubten den Angreifern das Eindringen – und dann traf das Unternehmen auch noch die mit niemandem abgesprochene Entscheidung, ein Lösegeld von 5 Millionen US-Dollar zu zahlen. Schließlich schaltete man auch noch einen Großteil der Treibstoffversorgung an der Ostküste ab, ohne die US-Regierung zu konsultieren. Ein gigantisches Chaos war die Folge.
Auf der anderen Seite des Atlantiks schaute Ciaran Martin verblüfft zu. "Die knallharte Bewertung des Colonial-Hacks ist, dass das Unternehmen seine Entscheidungen aus rein kommerziellem Eigeninteresse getroffen hat, für alles andere musste die US-Regierung aufkommen", sagt Martin, der einst der oberste Beamte für Cybersicherheit im Vereinigten Königreich war.
Doch mittlerweile tut sich etwas: Jetzt fordern einige der wichtigsten US-Beamten für Cybersicherheit – darunter der derzeitige Cyber-Direktor des Weißen Hauses –, dass die Zeit für eine stärkere Rolle der US-Regierung und für eine stärkere Regulierung im Bereich der Cybersicherheit gekommen sei, damit sich ein Fiasko wie das bei der Colonial Pipeline nicht wiederholen kann.
Der Ukraine-Krieg sorgt für einen Kurswechsel
Der Kurswechsel kommt zu einem Zeitpunkt, an dem der Krieg in der Ukraine und die zunehmende Bedrohung durch neue Cyberangriffe aus Russland das Weiße Haus dazu zwingen, die Art und Weise, wie die Sicherheit der Nation gewährleistet wird, zu überdenken. "Wir befinden uns an einem Wendepunkt", meint etwa Chris Inglis, besagter Cyber-Direktor des Weißen Hauses und Bidens Top-Berater für Cybersicherheit. In seinem ersten Interview nach dem Einmarsch der Russen in der Ukraine, das er mit MIT Technology Review führte, betonte er, die kritischen Funktionen des Staates zu schützen, sei nichts, bei dem man einen Ermessensspielraum habe.
Die neue Cybersicherheitsstrategie des Weißen Hauses besteht aus einer stärkeren staatlichen Aufsicht, aus neuen Vorschriften, die von Unternehmen die Einhaltung von Mindeststandards für die Cybersicherheit verlangen, aus engeren Partnerschaften mit der Privatwirtschaft und einer Abkehr vom derzeitigen Ansatz, sich auf den Markt zu verlassen. Die Regeln sollen zudem endlich besser durchgesetzt werden. Wenn alles so läuft wie erhofft, könnte das ein so wichtiger regulatorischer Meilenstein werden wie einst die wichtige Umweltgesetzgebung des "Clean Air Act" oder gar die Einführung der Medizinaufsicht Food and Drug Administration (FDA).
Angesichts der sich abzeichnenden massiven Bedrohung durch russische Hacker bereitet sich die Kommunikationsaufsicht Federal Communication Commission (FCC) darauf vor, dass die Russen gar Teile des Internet-Verkehrs der USA umleiten und damit "kapern" könnten – eine Taktik, die Moskau in der Vergangenheit bereits erprobt haben soll. Eine neue FCC-Initiative, die am 11. März angekündigt wurde, zielt nun darauf ab, zu untersuchen, ob die US-Telekommunikationsunternehmen ausreichend aktiv waren, um sich gegen diese Bedrohung zu schützen.
Jahrelange Bemühungen des Staates
Dies ist jedoch ein echter Test für die FCC, da sie aktuell faktisch nicht die Macht hat, die Unternehmen zur Einhaltung der Vorschriften zu zwingen. Man hofft, dass die echte Gefahr einer nationalen Sicherheitskrise ausreicht, um sie zur Einhaltung der Vorschriften zu bewegen. Viele Beamte sind inzwischen der Meinung, dass dieses nahezu unerschöpfliche Vertrauen auf den guten Willen des Marktes, die Bürger zu schützen, keine Zukunft mehr hat.
"Der rein freiwillige Ansatz [zur Cybersicherheit] hat uns trotz jahrzehntelanger Bemühungen einfach nicht dorthin gebracht, wo wir sein müssten", sagt Suzanne Spaulding, ehemals leitende Beamtin für Cybersicherheit in der Obama-Regierung. In anderen Bereichen wie dem Umweltschutz oder dem Straßenverkehr sei doch klar, dass der Staat regulierend eingreifen müsse. Entscheidend ist nun aber, dass die Spitzenbeamten des Weißen Hauses zustimmen. "Ich bin ein großer Fan von dem, was Suzanne sagt – und ich stimme ihr zu", sagt Inglis. Ohne eine drastische Änderung, so argumentiert er und andere, werde sich die Geschichte wiederholen und die Unternehmen zu wenig tun.
"Es ist kein Geheimnis, dass Unternehmen keine strengen Cybersicherheitsregeln wollen", sagt Senator Ron Wyden, eine der lautesten Stimmen im US-Kongress zu Fragen der Cybersicherheit und des Datenschutzes. "Das hat unser Land in Sachen Cybersicherheit dahin gebracht, wo es jetzt steht. Ich werde also nicht so tun, als ob es einfach wäre, den Status quo zu ändern." Doch die Alternative wäre, Hacker aus Russland, China und sogar Nordkorea in kritischen Systemen in ganz Amerika ihr Unwesen treiben zu lassen, sagt Wyden. "Ich hoffe aufrichtig, dass der nächste große Hack nicht mehr Schaden anrichtet als der Einbruch bei der Colonial Pipeline, aber wenn der Kongress nicht ernst macht mit neuen Gesetzen, ist das fast unvermeidlich."
Schlechte Regulierung hilft nichts
Ein Umdenken wird nicht einfach sein. Viele Experten innerhalb und außerhalb der Regierung befürchten, dass schlecht überdachte Vorschriften mehr Schaden als Nutzen anrichten könnten. Einige Beamte fürchten, dass es den Regulierungsbehörden an Fachwissen im Bereich der Cybersicherheit mangelt. So wurden beispielsweise die jüngsten Cyber-Vorschriften der Verkehrsaufsicht Transportation Security Administration (TSA) für Pipelines "vermasselt", wie Experten meinen. Diese seien unflexibel und ungenau. Kritiker weisen darauf hin, dass dies das Resultat einer Aufsicht ist, die zwar ein großes Aufgabengebiet hat, aber nicht annähernd genug Zeit, Ressourcen und Fachpersonal, um ihren Job wirklich zu erledigen.
Glenn Gerstall, der bis 2020 leitender Justiziar der Spionagebehörde National Security Agency (NSA) war, argumentiert, dass der aktuelle Ansatz – eine Vielzahl verschiedener Regulierungsbehörden, die in ihren eigenen spezifischen Sektoren arbeiten – nicht funktioniert und dass die USA eine zentrale Cybersicherheitsbehörde brauchen, die über das Fachwissen und die Ressourcen verfügt, die sich auf verschiedene kritische Infrastrukturen erstrecken.
Der Widerstand gegen die Pipeline-Regelungen der TSA zeigt, wie schwierig der Prozess sein könnte. Dennoch wächst der Konsens darüber, dass der Status quo – eine Litanei von Sicherheitsmängeln und Fehlanreizen für die Industrie – unhaltbar ist. Der Vorfall bei der Colonial Pipeline zeigt, was viele Cyberexperten seit langem predigen: Die meisten Angriffe sind das Ergebnis jahrelang vorhandener Probleme, die die Unternehmen ignorieren. "Die gute Nachricht ist, dass wir tatsächlich wissen, wie wir diese Probleme lösen können", sagt Gerstall, "Wir können die Cybersicherheit verbessern. Es mag teuer und schwierig werden, aber der Ansatz ist längst da. Das ist kein technisches Problem."
Hacking ist keine Naturkatastrophe
Ein weiterer großer Cyberangriff aus jüngster Zeit beweist dies erneut: SolarWinds, eine russische Hacking-Kampagne gegen die US-Regierung und große Unternehmen, hätte neutralisiert werden können, wenn die Opfer der Angreifer bekannte Cybersicherheitsstandards befolgt hätten.
"Es existiert die Tendenz, die Fähigkeiten der Hacker, die für große Cybersicherheitsvorfälle verantwortlich sind, als Naturkatastrophe oder höhere Gewalt zu bewerten", sagt der Politiker Wyden. "Das spricht die betroffenen Organisationen, ihre Chefs und die Regulierungsbehörden bequem von jeglicher Verantwortung frei." Doch wenn die Fakten erst einmal auf dem Tisch liegen, habe die Öffentlichkeit immer wieder erlebt, dass Hacker oft nur deshalb in Systeme gelangten, weil die Opfer es versäumt hatten, Software-Patches zu installieren oder ihre Firewalls richtig zu konfigurieren, meint er.
Für das Weiße Haus ist klar, dass viele Unternehmen nicht genug in die Cybersicherheit investieren und dies auch künftig nicht tun werden. In den vergangenen sechs Monaten hat die US-Regierung deshalb neue Cybersicherheitsvorschriften für Banken, Pipelines, Bahnsysteme, Fluggesellschaften und Flughäfen erlassen. Biden unterzeichnete letztes Jahr zudem eine Durchführungsverordnung des Präsidenten (Executive Order) zur Cybersicherheit, um diese auf Bundesebene zu stärken und Sicherheitsstandards für alle Unternehmen vorzuschreiben, die Lieferanten der Regierung sind.
Nur ein Beginn
Die meisten der neuen Vorschriften beschränken sich auf sehr grundlegende Anforderungen und üben wenig Einfluss der Regierung aus – und dennoch stoßen sie bei den Unternehmen auf Widerstand. "Es gibt drei wichtige Dinge, die notwendig sind, um den aktuell traurigen Zustand der US-Cybersicherheit zu verbessern", sagt Wyden. "Obligatorische Mindeststandards für die Cybersicherheit, die von den Aufsichtsbehörden durchgesetzt werden; obligatorische Cybersicherheits-Audits gegenüber der Regierung, die von unabhängigen Prüfern durchgeführt werden, die nicht von den Unternehmen ausgewählt wurden – und hohe Geldstrafen, einschließlich Gefängnisstrafen für leitende Angestellte, wenn die Nichteinhaltung grundlegender Cybersicherheitsmaßnahmen zu einem Verstoß führt."
Eine neue Verordnung über die obligatorische Meldung von Cybersicherheits-Vorfällen, die im März in Kraft getreten ist, wird als ein erster Schritt angesehen. Sie verpflichtet private Unternehmen, Informationen über Bedrohungen, die sie bisher geheim hielten, schnell weiterzugeben – denn genau diese Informationen können dabei helfen, alle Unternehmen zu schützen.
Frühere Regulierungsversuche sind gescheitert, aber der jüngste Vorstoß für ein neues Meldegesetz hat durch die Unterstützung von Unternehmensgrößen wie Kevin Mandia, CEO von Mandiant, sowie Brad Smith, Präsident von Microsoft, an Fahrt gewonnen. Dies ist ein Zeichen dafür, dass führende Vertreter des Privatsektors eine Regulierung für unvermeidlich halten und in wichtigen Bereichen auch als vorteilhaft ansehen. Inglis betont, dass die Ausarbeitung und Durchsetzung neuer Vorschriften eine enge Zusammenarbeit zwischen der Regierung und den Privatunternehmen bei jedem Schritt erfordern wird. Und selbst innerhalb des privaten Sektors ist man sich einig, dass Veränderungen notwendig sind.
Freiwilligkeit reicht nicht mehr
"Wir haben lange Zeit versucht, rein freiwillig zu handeln", sagt Michael Daniel, der die Cyber Threat Alliance leitet, einen Zusammenschluss von Technikunternehmen, die Informationen über Cyberbedrohungen untereinander austauschen, um eine bessere gemeinsame Abwehr zu erreichen. "Es geht nicht so schnell oder so gut voran, wie wir es brauchen."
Aus dem Weißen Haus argumentiert Inglis, dass die Vereinigten Staaten mittlerweile hinter ihren Verbündeten zurückgeblieben sind. Er verweist auf das britische Cybersicherheitszentrum NCSC, das eine Vorreiterrolle in Sachen Cybersicherheit einnehmen soll und von dem die USA lernen könnten. Ciaran Martin, Gründungsgeschäftsführer des NCSC, betrachtet die amerikanische Herangehensweise an das Thema Cybersecurity dennoch weiterhin mit Erstaunen.
"Wenn ein britisches Energieunternehmen der britischen Regierung das angetan hätte, was Colonial der US-Regierung angetan hat, hätten wir ihnen auf höchster Ebene den Boden unter den Füßen weggezogen – und nicht nur mit Worten", sagt er. "Der Premierminister hätte den Vorstandsvorsitzenden angerufen und gesagt: 'Was zum Teufel fällt Ihnen ein, Lösegeld zu zahlen und diese Pipeline abzuschalten, ohne uns zu informieren?'"
Globaler Finanzschock durch Hacker?
Die Cyber-Vorschriften des Vereinigten Königreichs sehen vor, dass Banken sowohl gegen einen globalen Finanzschock als auch gegen Cyber-Belastungen gewappnet sein müssen. Das Vereinigte Königreich hat sich auch auf eine strengere Regulierung der Telekommunikation konzentriert, nachdem eine große britische Telekommunikationsgesellschaft einen Großangriff russischer Hacker überstehen musste.
Auf der anderen Seite des Atlantiks stellt sich die Situation anders dar. Die Federal Communications Commission, die in den USA für die Überwachung von Telekommunikation und Breitbandsystemen zuständig ist, hat ihre Regulierungsbefugnisse während der Präsidentschaft Trumps sogar erheblich eingeschränkt und verlässt sich größtenteils auf die freiwillige Kooperation mit den Internetriesen.
Der Ansatz des Vereinigten Königreichs, bestimmte Branchen einzeln anzugehen und dabei auf den bereits vorhandenen Regulierungsbefugnissen aufzubauen, anstatt ein einziges neues, zentralisiertes Gesetz zu erlassen, das alle Bereiche abdeckt, ähnelt der Strategie, die das Weiße Haus unter Biden in Bezug auf das Internet verfolgen will. "Wir müssen die [Regulierungs-]Befugnisse ausschöpfen, die wir bereits haben", so Inglis. Für den Politiker Wyden signalisiert die Strategie des Weißen Hauses einen dringend notwendigen Wandel.
Warum der Cybersicherheitsmarkt scheitert
"Regulierungsbehörden auf US-Bundesebene haben sich durchweg davor gescheut, die ihnen zur Verfügung stehenden Befugnisse zu nutzen oder den Kongress um neue Befugnisse zur Regulierung der Cybersicherheitspraktiken der Industrie zu bitten", sagt er. "Es ist kein Wunder, dass die Cybersicherheit in so vielen Branchen miserabel ist. Die Aufsichtsbehörden haben die Unternehmen im Wesentlichen sich selbst regulieren lassen."
Es gibt fundamentale Gründe, warum der Markt für Cybersicherheit, der Hunderte von Milliarden Dollar wert ist und weltweit wächst, bislang versagt. Die Firmen, die die Dienstleistungen einkaufen, hätten noch nicht herausgefunden, wie ihnen diese Geld sparen, sagt Daniel von der Cyber Threat Alliance. Ihnen sei nicht klar, welche finanziellen Vorteile sie von guter Cybersicherheit hätten. Passiert nichts, ist alles in Ordnung – doch das wird nicht unbedingt mit den Sicherheitsdienstleistern in Verbindung gebracht. Der zweite Grund ist die Geheimhaltung. Unternehmen mussten Hacks lange nicht melden, so dass wichtige Daten über große Angriffe unter Verschluss gehalten wurden, um Unternehmen vor schlechter Presse, Gerichtsverfahren und dem Gesetzgeber zu schützen.
Der dritte Grund ist der Umfang des Problems. Der Preis, den die Regierung und die Gesellschaft für Angriffe wie den Colonial-Pipeline-Hack zahlten, ging weit über das hinaus, was das gehackte Unternehmen selbst zahlen musste. Genau wie bei der Umweltverschmutzung "machen sich die Kosten nicht in der Bilanz eines Unternehmens bemerkbar", sagt Obama-Cybersicherheits-Expertin Spaulding, so dass die Anreize des Marktes, die Probleme zu beheben, gering sind. Befürworter von Reformen sind der Meinung, dass ein stärkeres Eingreifen der Regierung diese Rechnung ändern könnte, so wie es im letzten Jahrhundert in Dutzenden von Branchen im Umweltbereich geschehen ist.
Gelder fließen
Ex-NSA-Mann Gerstall sieht, dass der Druck langsam wächst, den Status quo aufzuheben. "Ich habe noch nie zuvor eine solche Einmütigkeit und ein solches Bewusstsein erlebt der Branche", sagt er. "Das fühlt sich anders an als zuvor. Ob es ausreicht, um wirklich etwas zu verändern, ist noch nicht klar. Aber die Temperatur im Raum steigt."
Inglis verweist auf die immerhin fast 2 Milliarden Dollar an Cybersicherheitsgeldern aus Bidens gigantischem Infrastrukturgesetz von 2021. Das sei eine einmalige Gelegenheit für die Regierung, Cybersicherheit und den Datenschutz zu verbessern.
"Wir müssen sicherstellen, dass wir die Möglichkeiten, die wir nun haben, um in die Widerstandsfähigkeit und Robustheit der digitalen Infrastruktur zu investieren, nicht vergeuden", argumentiert er. "Wir müssen uns fragen, was die systemkritischen Funktionen sind, von denen unsere Gesellschaft abhängt." Werden die Marktkräfte allein ausreichen, sie zu schützen? Und wenn diese nicht ausreichen, wie sollen wir dann entscheiden, was wir tun sollen? All diese Fragen stelle er sich. "Das ist der Weg, der vor uns liegt. Und es muss kein Prozess sein, der Jahre dauert. Wir müssen ein Gefühl der Dringlichkeit entwickeln."
(bsc)
