Präsident Joe Biden unterzeichnete den Strengthening American Cybersecurity Act im März 2022. Das Gesetz besteht aus verschiedenen Vorschriften, aber es sind die Anforderungen an die Meldung von Sicherheitsvorfällen, die in der IT-Gemeinschaft für Aufsehen sorgen. Gegenwärtig konzentrieren sich die Meldepflichten auf kritische Infrastrukturen, aber es besteht ein großes Potenzial, dass letztendlich auch Unternehmen in verschiedenen Branchen diesen Anforderungen unterliegen könnten.
Zum Zeitpunkt der Abfassung dieses Berichts ist noch Zeit, um die Einzelheiten des Gesetzes zu ändern. Der Grund dafür ist, dass das Gesetz den Direktor der Cybersecurity and Infrastructure Security Agency (CISA) verpflichtet, innerhalb von 24 Monaten nach der Unterzeichnung des Gesetzes einen Regelungsvorschlag zu veröffentlichen. Der Direktor hat dann 18 Monate Zeit, eine endgültige Regelung für die Umsetzung zu erlassen.
Das bedeutet, dass es eine gewisse Flexibilität bei der Definition dessen gibt, was als „betroffene Einrichtung“ gilt, und dass sich die Art der Unternehmen, die unter das Gesetz fallen, je nach den endgültigen Entscheidungen des Direktors ändern kann.“
Es gibt viele Spekulationen darüber, was dies langfristig für IT-Anbieter bedeuten wird, aber die sichere Annahme ist, dass jeder Sektor, der auch nur annähernd unter die Definition von „kritischen Infrastrukturen“ fällt, diesen Anforderungen unterliegt.
In diesem Artikel erörtern wir die Grundlagen des kürzlich verabschiedeten Cybersicherheitsgesetzes und erläutern, wie MSPs die damit einhergehenden Änderungen bewältigen können.
Was ist der Strengthening American CyberSecurity Act of 2022?
Am 1. März verabschiedete der US-Senat einen Gesetzentwurf, der sich auf die Sicherheitslage von Bundesbehörden und Organisationen der kritischen Infrastruktur auswirkt.
Der einstimmig unterstützte Strengthening American Cybersecurity Act of 2022 legt Meldepflichten für „betroffene Einrichtungen“ und kritische Infrastrukturen fest – alles mit dem Ziel, die Cyberverteidigung der amerikanischen Infrastruktur zu stärken.
Der Strengthening American Cybersecurity Act of 2022 (in diesem Artikel als „Gesetz“ bezeichnet) besteht aus drei Verordnungen:
- The Federal Secure Cloud Improvement and Jobs Act of 2022
- Cyber Incident Reporting for Critical Infrastructure Act of 2022
- The Federal Information Security Modernization Act of 2022
Diese Verordnungen betreffen vor allem kritische Infrastrukturen, sind aber höchstwahrscheinlich ein Vorbote eines Trends. Sicherlich wird es in Zukunft ähnliche Vorschriften geben, und das wachsende Interesse der Regierungen an der digitalen Sicherheit wird weitreichende Auswirkungen auf die Zukunft haben.
Dies überrascht nicht, da Angriffe und Schwachstellen, die kritische Infrastrukturen betreffen, in alarmierendem Ausmaß Schlagzeilen machen.
Was diese Verordnung für Managed Service Provider bedeutet
In seiner jetzigen Form wirft das Gesetz viele Fragen für MSPs auf. Die einfache Tatsache, dass „betroffene Einrichtungen“ nur vage definiert sind — und sich in Zukunft wahrscheinlich ändern werden — macht es für IT-Anbieter schwierig, sich mit den Auswirkungen vertraut zu machen.
Tatsächlich sind viele IT-Abteilungen und MSPs zu dem Schluss gekommen, dass sie von diesem neuen Gesetz überhaupt nicht betroffen sind. Allerdings übersehen sie bei dieser Einschätzung wahrscheinlich ein entscheidendes Detail:
Das Gesetz verweist direkt auf die 2013 erstellte Presidential Policy Directive 21. Diese Richtlinie definiert den Sektor der kritischen Infrastrukturen als „Systeme und Assets, ob physisch oder virtuell, die für die Vereinigten Staaten so lebenswichtig sind, dass die Unfähigkeit oder Zerstörung dieser Systeme und Assets die Sicherheit, die nationale wirtschaftliche Sicherheit, die nationale öffentliche Gesundheit oder Sicherheit oder eine Kombination dieser Bereiche beeinträchtigen würde.“
In der Policy Directive 21 werden die folgenden Branchen genannt:
- Lebensmittel und Landwirtschaft
- Staatliche Einrichtungen
- Gesundheitswesen und öffentliche Gesundheit
- Informationstechnologie
- Chemischer Sektor
- Kommerzielle Einrichtungen
- Kommunikation
- Transportsysteme
- Abfall- und Abwassersysteme
- Kritische Fertigung
- Staudämme
- Rüstungsindustrie
- Notfalldienste
- Energie
- Finanzdienstleistungen
- Kernreaktoren, Materialien und Abfälle
Der Sektor der Informationstechnologie wird ausdrücklich genannt, was bedeutet, dass IT-Abteilungen und MSPs unter dieses neue Gesetz fallen.
Das heißt auch, dass MSPs und IT-Dienstleister doppelt belastet werden, wenn sie Dienstleistungen für eine andere betroffene Einrichtung erbringen, zum Beispiel in den Bereichen Gesundheitswesen, Kommunikation, Finanzdienstleistungen oder Verteidigung. Sie müssen dafür sorgen, dass ihre betroffenen Kunden sich an das Gesetz halten und auch ihr eigenes Geschäft betreiben.
Meldung von Cybersicherheitsvorfällen
Ein zentraler Bestandteil des Gesetzes ist die Schaffung eines klaren Weges für die Meldepflicht an CISA. Der festgelegte Weg erleichtert einen funktionsübergreifenden Informationsaustausch zwischen CISA und anderen Bundesbehörden wie dem FBI. Diese Anforderungen werden es den Behörden ermöglichen, Daten zu sammeln und die Bedrohungsakteure schneller zu identifizieren. Darüber hinaus werden in diesem Gesetz die Mindestanforderungen für die Meldung von Ransomware-Zahlungen und anderen Cybersicherheitsvorfällen festgelegt.
Im Falle eines Cybersicherheitsvorfalls schreibt das Gesetz die folgenden Maßnahmen vor:
- Eine Mitteilung sollte innerhalb von 24 bis 72 Stunden an CISA erfolgen.
- Diese Mitteilung muss eine umfassende Beschreibung des Vorfalls und der ausgenutzten Schwachstellen sowie aller Abwehrmaßnahmen enthalten, die zum Zeitpunkt des Vorfalls vorhanden waren.
- In dem Bericht muss angegeben werden, welche Art von Informationen möglicherweise kompromittiert worden sind.
- Alle Kontaktinformationen oder andere zusätzliche Informationen über die verantwortlichen Parteien (den Angreifer) sollten offengelegt werden.
- Die Kontaktdaten der betroffenen Einrichtung/des betroffenen Unternehmens sollten CISA mitgeteilt werden.
- Wenn ein Ransomware-Angriff gemeldet wird, sollten das Datum der Zahlung, die Zahlungsanweisungen, die Lösegeldforderung und der Lösegeldbetrag angegeben werden.
Wie Sie sich vorstellen können, stellen diese Anforderungen eine Belastung für viele Organisationen und Unternehmen dar, die nicht in der Lage sind, einen Verstoß schnell zu erkennen und zu klassifizieren, bevor sie ihn melden.
Wir alle wissen, dass sich größere Unternehmen interne IT-Mitarbeiter:innen oder Managed Service Provider leisten können, die in der Lage sind, diese Vorfälle schnell und effizient zu melden, aber kleinere Unternehmen verfügen möglicherweise nicht über diese Kapazitäten. Es ist sogar noch unwahrscheinlicher, dass ein durchschnittliches KMU weiß, wie es die relevanten Informationen sammeln und einen Bericht selbst einreichen kann.
Risikobewertung und -minimierung
Auch wenn der Strengthening Cybersecurity Act of 2022 Unternehmen, die außerhalb kritischer Infrastrukturen tätig sind, nicht unmittelbar betrifft, sollten MSPs alle ihre Kunden darüber aufklären, dass der Schutz der Cybersicherheit ein entscheidender Schritt bei der Risikobewertung und -minimierung ist.
Die in diesem Gesetz festgelegten Normen werden wahrscheinlich irgendwann auch den privaten Sektor betreffen. Dies ist ein Schritt in die korrekte Richtung für die Sicherheit, und Unternehmen sollten sich darauf vorbereiten, indem sie ihre Cybersicherheitsrisiken bewerten und die notwendigen Schritte unternehmen, um sie zu beseitigen, bevor die neuen Vorschriften in Kraft treten.
Das sind einige Best Practices, die jedes Unternehmen berücksichtigen sollte:
- Umfassende Zero-Trust-Architektur und Zugangskontrolle: Viele Unternehmen arbeiten immer noch mit uneingeschränktem Zugang zu sensiblen Daten und Systemen. Durch die Implementierung von Zero Trust und die Konfiguration der Zugangskontrolle nach dem Prinzip der Minimalprivilegien können sie den Zugang zu Netzwerken und zur IT-Umgebung einschränken und ihr Gesamtrisiko minimieren.
- Verbesserung der mobilen und ferngesteuerten Sicherheit: Die Verbreitung von Remote-Arbeitsumgebungen und Bring Your Own Device (BYOD)-Richtlinien haben für viele Unternehmen zusätzliche Risiken geschaffen. Da Cyberkriminelle Mobilgeräte und Remote-Arbeitsplätze häufig ins Visier nehmen, sollten Benutzer:innen geeignete Maßnahmen ergreifen, um diese Bedrohungsflächen zu schützen.
- Entschärfung der häufigsten Bedrohungsvektoren: Einfache Schritte in Richtung besserer Sicherheitspraktiken können für viele kleine und mittlere Unternehmen den Ausschlag geben. Die Einführung eines Passwortmanagers, die Aktivierung einer Multi-Faktor-Authentifizierung, wo immer dies möglich ist, und die Durchführung von Schulungen zur Cybersicherheit können das Cyber-Risiko eines Unternehmens erheblich verringern.
Zusätzliche Überlegungen
Die Art und Weise, wie Unternehmen Vorfälle im Bereich der Cybersicherheit verhindern und beheben, wird immer mehr standardisiert. Die Unterzeichnung dieses Gesetzes hat einige zusätzliche Auswirkungen, die berücksichtigt werden sollten.
FedRAMP wurde geschaffen, um die Einführung und Verwendung von Cloud-Technologien durch die Bundesbehörden zu erleichtern, und unterstützt diese bei der Implementierung moderner Cloud-Technologien mit Schwerpunkt auf Sicherheit. Die Einführung vom Strengthening American Cybersecurity Act of 2022 bietet Organisationen und Unternehmen innerhalb des Federal Risk and Authorization Management Program (FedRAMP) die Möglichkeit, auf cloudbasierte Technologien umzusteigen.
Wir gehen davon aus, dass Regelungen für den privaten Sektor bereits in Arbeit sind, auch wenn es noch Jahre dauern könnte, bis wir etwas Schriftliches sehen werden. Wir wissen jedoch, dass die gesetzlich vorgeschriebenen Sicherheits- und Meldeanforderungen für kleinere Unternehmen oft unerschwinglich sind, sodass es bald notwendig sein könnte, dass die Regierung die Finanzierung der Überwachung und Behebungsmaßnahmen subventioniert.
Viele Betroffene sind sich einig, dass ein steuerlicher Anreiz für KMUs, die ihre Cybersicherheit verbessern, auf dem Weg sein könnte. Dies wäre wahrscheinlich ein Segen für Managed Service Provider, die oft Mühe haben, ihre Kunden davon zu überzeugen, dass die Kosten für die Cybersicherheit gerechtfertigt sind.
Wie bleiben MSPs konform mit dem American CyberSecurity Act of 2022?
Der Strengthening American Cybersecurity Act sieht sowohl Strafen für die Nichteinhaltung als auch Vorteile für die Erfüllung der Anforderungen vor.
Im Hinblick auf die Verantwortung von MSPs ist es wichtig zu wissen, dass CISA über weitreichende Befugnisse verfügt, um Informationen von einer betroffenen Einrichtung anzufordern, einschließlich der Befugnis, Vorladungen zu erlassen. Wenn ein Unternehmen oder ein MSP bei Ermittlungen der CISA nicht kooperiert, kann der Fall zur Durchsetzung aufsichtsrechtlicher Maßnahmen an das US-Justizministerium weitergeleitet werden – einschließlich Geldstrafen, Sanktionen und sogar Freiheitsentzug.
Die andere Seite der Medaille besteht darin, dass konforme Unternehmen einen gewissen Schutz durch die Regierung erhalten. Wenn ein Unternehmen die Vorschriften einhält, ist es von jeder zivilrechtlichen Klage befreit, und die von ihm bereitgestellten Informationen können nicht gegen es verwendet werden, selbst wenn die Schwachstelle durch einen Fehler des Unternehmens entstanden ist.
Um besser zu verstehen, wie sich das Gesetz auf Ihren MSP auswirken könnte, werfen wir einen Blick auf fünf spezifische Abschnitte:
Abschnitt 107. Anforderungen der Behörde an die Benachrichtigung durch private Einrichtungen, die von Vorfällen betroffen sind
In diesem Abschnitt wird dargelegt, wie die betroffenen Einrichtungen Vorfälle melden müssen, die die Vertraulichkeit oder Integrität sensibler Informationen beeinträchtigen können, insbesondere Informationen, die sich auf eine gesetzliche oder behördliche Anforderung beziehen. In diesem Abschnitt werden auch die Meldepflichten für Vorfälle beschrieben, die sich auf Informationssysteme auswirken können, die zur Übermittlung oder Speicherung sensibler Informationen verwendet werden.
Abschnitt 108. Mobile Sicherheitsstandards
Dieser Abschnitt befasst sich mit der Bewertung der Sicherheit mobiler Anwendungen und enthält Leitlinien für die Führung eines kontinuierlichen Inventars aller im Unternehmen eingesetzten Mobilgeräte. Darin wird außerdem die gewünschte mobile Sicherheitslage dargelegt und erklärt, wie relevante Daten mit CISA durch Automatisierung (falls zutreffend) ausgetauscht werden sollten.
Abschnitt 109. Speicherung von Daten und Protokollen für die Reaktion auf Vorfälle
Die Einzelheiten sind noch in Arbeit, aber das Gesetz wird letztendlich vorschreiben, welche Arten von Protokollen und Daten Sie für die betroffenen Einrichtungen speichern müssen und wie lange diese Daten aufbewahrt werden müssen. Es wird eine genaue Methode geben, wie sichergestellt werden kann, dass die Protokolle ausgewählten Regierungsbehörden für die Berichterstattung zur Verfügung stehen, aber auch vertraulich bleiben, um persönlich identifizierbare Informationen zu schützen. Die genauen Einzelheiten zu diesem Abschnitt sollten innerhalb der nächsten zwei Jahre festgelegt werden.
Abschnitt 112. Fortlaufendes Programm zur Bedrohungssuche
In diesem Abschnitt heißt es, dass die betroffenen Einrichtungen „ein Programm zur kontinuierlichen, hypothesengesteuerten Bedrohungssuche im Netzwerk jeder Behörde einrichten“ müssen. Sie müssen in der Lage sein, darüber zu berichten, um welche Aktivitäten es sich dabei handelt, welche Bedrohungen oder Schwachstellen sie aufgedeckt haben und was sie aus diesen Bedrohungssuchen gelernt haben.
Die Bedrohungssuche ist Teil eines proaktiveren Ansatzes für die Cybersicherheit. Dieser Abschnitt zeigt, dass sich der Gesetzgeber nicht mehr damit zufrieden gibt, dass die Behörden einfach nur auf einen Angriff warten und bei Bedarf reagieren. Dies schafft viele Möglichkeiten für auf Cybersicherheit spezialisierte MSPs, die diese Bedrohungssuchdienste anbieten können.
Abschnitt 114. Implementierung einer Zero-Trust-Architektur
Zero Trust ist eine Methode, die die Sicherheit interner Netzwerksysteme erhöht, indem davon ausgegangen wird, dass keine Software, kein Benutzer und keine Daten als sicher oder legitim angesehen werden können. Im Rahmen dieses Konzepts sollten nur diejenigen Zugang erhalten, die ihn benötigen. Alles in allem bedeutet dies, dass Benutzer:innen, Administrator:innen und Anwendungen nur auf die Bereiche des Netzwerks zugreifen können, die für ihre Rolle wichtig sind.
Kurz gesagt, das Gesetz sieht vor, dass IT-Abteilungen:
- ein Team bilden oder Ressourcen bereitstellen, um Bedrohungen so schnell wie möglich zu identifizieren, zu isolieren und zu beseitigen. In vielen Fällen wird der MSP oder MSSP dieser Anregung nachkommen, indem er diese Verantwortung übernimmt.
- Hören Sie auf, Netzwerke als vertrauenswürdig zu betrachten, und gehen Sie stattdessen davon aus, dass ein Zugriff möglich ist. Implementieren Sie außerdem Kontrollen immer unter der Annahme, dass ein Risiko oder eine Bedrohung besteht.
- Beachten Sie bei der Erstellung von Informationssicherheitsprogrammen und der Verwaltung des administrativen Zugriffs das Prinzip minimaler Privilegien.
- Verwenden Sie Methoden und eine Architektur, die die seitliche Bewegung im Netzwerk einschränkt, zum Beispiel durch Mikro-Segmentierung.
Partnerschaft mit NinjaOne
NinjaOne hilft MSPs, ihr Geschäft effizient und sicher zu verwalten. Tausende von Benutzer:innen verlassen sich auf unsere hochmoderne RMM-Software, um die Herausforderungen des modernen IT-Managements zu bewältigen.
Sie sind noch kein NinjaOne-Partner? Wir wollen Ihnen immer noch helfen, Ihr Geschäft auszubauen! Besuchen Sie unseren Blog mit MSP-Ressourcen und hilfreichen Leitfäden, melden Sie sich für Bento an, um wichtige Anleitungen in Ihren Posteingang zu erhalten, und nehmen Sie an unseren Live-Chats teil, um mit Channel-Expert:innen persönlich zu diskutieren.
Wenn Sie bereit sind, NinjaOne-Partner zu werden, vereinbaren Sie einen Termin für eine Demo oder starten Sie Ihre 14-tägige Testphase, um zu sehen, warum bereits über 9.000 Kunden NinjaOne als Partner für Sicherheit und Remote-Management gewählt haben.
