{"id":538342,"date":"2025-10-08T12:57:02","date_gmt":"2025-10-08T12:57:02","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=538342"},"modified":"2025-10-08T12:57:02","modified_gmt":"2025-10-08T12:57:02","slug":"strengthening-american-cybersecurity-act-of-2022-wirkt-sich-auf-msps-auf","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/strengthening-american-cybersecurity-act-of-2022-wirkt-sich-auf-msps-auf\/","title":{"rendered":"Wie sich der Strengthening American CyberSecurity Act of 2022 auf MSPs im Jahr 2023 auswirkt"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">Pr\u00e4sident Joe Biden unterzeichnete den <a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/senate-bill\/3600\/text\" target=\"_blank\" rel=\"noopener\">Strengthening American Cybersecurity Act<\/a> im M\u00e4rz 2022. Das Gesetz besteht aus verschiedenen Vorschriften, aber es sind die Anforderungen an die Meldung von Sicherheitsvorf\u00e4llen, die in der IT-Gemeinschaft f\u00fcr Aufsehen sorgen. Gegenw\u00e4rtig konzentrieren sich die Meldepflichten auf kritische Infrastrukturen, aber es besteht ein gro\u00dfes Potenzial, dass letztendlich auch Unternehmen in verschiedenen Branchen diesen Anforderungen unterliegen k\u00f6nnten.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Zum Zeitpunkt der Abfassung dieses Berichts ist noch Zeit, um die Einzelheiten des Gesetzes zu \u00e4ndern. Der Grund daf\u00fcr ist, dass das Gesetz den Direktor der <a href=\"https:\/\/www.cisa.gov\" target=\"_blank\" rel=\"noopener\">Cybersecurity and Infrastructure Security Agency (CISA)<\/a>\u00a0verpflichtet, innerhalb von 24 Monaten nach der Unterzeichnung des Gesetzes einen Regelungsvorschlag zu ver\u00f6ffentlichen. Der Direktor hat dann 18 Monate Zeit, eine endg\u00fcltige Regelung f\u00fcr die Umsetzung zu erlassen.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Das bedeutet, dass es eine gewisse Flexibilit\u00e4t bei der Definition dessen gibt, was als \u201ebetroffene Einrichtung\u201c gilt, und dass sich die Art der Unternehmen, die unter das Gesetz fallen, je nach den endg\u00fcltigen Entscheidungen des Direktors \u00e4ndern kann.\u201c\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Es gibt viele Spekulationen dar\u00fcber, was dies langfristig f\u00fcr IT-Anbieter bedeuten wird, aber die sichere Annahme ist, dass jeder Sektor, der auch nur ann\u00e4hernd unter die Definition von \u201ekritischen Infrastrukturen\u201c f\u00e4llt, diesen Anforderungen unterliegt.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">In diesem Artikel er\u00f6rtern wir die Grundlagen des k\u00fcrzlich verabschiedeten Cybersicherheitsgesetzes und erl\u00e4utern, wie MSPs die damit einhergehenden \u00c4nderungen bew\u00e4ltigen k\u00f6nnen.\u00a0<\/span><\/p>\n<h2><b>Was ist der Strengthening American CyberSecurity Act of 2022?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Am 1. M\u00e4rz verabschiedete der US-Senat einen Gesetzentwurf, der sich auf die Sicherheitslage von Bundesbeh\u00f6rden und Organisationen der kritischen Infrastruktur auswirkt.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Der einstimmig unterst\u00fctzte Strengthening American Cybersecurity Act of 2022 legt Meldepflichten f\u00fcr \u201ebetroffene Einrichtungen\u201c und kritische Infrastrukturen fest &#8211; alles mit dem Ziel, die Cyberverteidigung der amerikanischen Infrastruktur zu st\u00e4rken.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Der Strengthening American Cybersecurity Act of 2022\u00a0 (in diesem Artikel als \u201eGesetz\u201c bezeichnet) besteht aus drei Verordnungen:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/senate-bill\/3099\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">The Federal Secure Cloud Improvement and Jobs Act of 2022<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.cisa.gov\/circia\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Cyber Incident Reporting for Critical Infrastructure Act of 2022<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/house-bill\/6497\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">The Federal Information Security Modernization Act of 2022<\/span><\/a><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Diese Verordnungen betreffen vor allem kritische Infrastrukturen, sind aber h\u00f6chstwahrscheinlich ein Vorbote eines Trends. Sicherlich wird es in Zukunft \u00e4hnliche Vorschriften geben, und das wachsende Interesse der Regierungen an der digitalen Sicherheit wird weitreichende Auswirkungen auf die Zukunft haben.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Dies \u00fcberrascht nicht, da <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-ist-schwachstellen-management\/\">Angriffe und Schwachstellen<\/a>, die kritische Infrastrukturen betreffen, in alarmierendem Ausma\u00df Schlagzeilen machen.\u00a0<\/span><\/p>\n<h2><b>Was diese Verordnung f\u00fcr Managed Service Provider bedeutet<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">In seiner jetzigen Form wirft das Gesetz viele Fragen f\u00fcr MSPs auf. Die einfache Tatsache, dass \u201ebetroffene Einrichtungen\u201c nur vage definiert sind \u2014 und sich in Zukunft wahrscheinlich \u00e4ndern werden \u2014 macht es f\u00fcr IT-Anbieter schwierig, sich mit den Auswirkungen vertraut zu machen.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Tats\u00e4chlich sind viele IT-Abteilungen und MSPs zu dem Schluss gekommen, dass sie von diesem neuen Gesetz \u00fcberhaupt nicht betroffen sind. Allerdings \u00fcbersehen sie bei dieser Einsch\u00e4tzung wahrscheinlich ein entscheidendes Detail:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Das Gesetz verweist direkt auf die 2013 erstellte <a href=\"https:\/\/www.energy.gov\/ceser\/presidential-policy-directive-21\" target=\"_blank\" rel=\"noopener\">Presidential Policy Directive 21<\/a>. Diese Richtlinie definiert den Sektor der kritischen Infrastrukturen als \u201eSysteme und Assets, ob physisch oder virtuell, die f\u00fcr die Vereinigten Staaten so lebenswichtig sind, dass die Unf\u00e4higkeit oder Zerst\u00f6rung dieser Systeme und Assets die Sicherheit, die nationale wirtschaftliche Sicherheit, die nationale \u00f6ffentliche Gesundheit oder Sicherheit oder eine Kombination dieser Bereiche beeintr\u00e4chtigen w\u00fcrde.\u201c<\/span><\/p>\n<p><span style=\"font-weight: 400;\">In der Policy Directive 21 werden die folgenden Branchen genannt:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Lebensmittel und Landwirtschaft<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Staatliche Einrichtungen<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Gesundheitswesen und \u00f6ffentliche Gesundheit<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Informationstechnologie<\/b><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Chemischer Sektor<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Kommerzielle Einrichtungen<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Kommunikation<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Transportsysteme<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Abfall- und Abwassersysteme<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Kritische Fertigung<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Staud\u00e4mme<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">R\u00fcstungsindustrie<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Notfalldienste<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Energie<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Finanzdienstleistungen<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Kernreaktoren, Materialien und Abf\u00e4lle<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Der Sektor der Informationstechnologie wird ausdr\u00fccklich genannt, was bedeutet, dass IT-Abteilungen und MSPs unter dieses neue Gesetz fallen.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Das hei\u00dft auch, dass <a href=\"https:\/\/www.ninjaone.com\/de\/was-ist-ein-msp\/\">MSPs und IT-Dienstleister<\/a> doppelt belastet werden, wenn sie Dienstleistungen f\u00fcr eine andere betroffene Einrichtung erbringen, zum Beispiel in den Bereichen Gesundheitswesen, Kommunikation, Finanzdienstleistungen oder Verteidigung. Sie m\u00fcssen daf\u00fcr sorgen, dass ihre betroffenen Kunden sich an das Gesetz halten und auch ihr eigenes Gesch\u00e4ft betreiben.<\/span><\/p>\n<h3><b>Meldung von Cybersicherheitsvorf\u00e4llen<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Ein zentraler Bestandteil des Gesetzes ist die Schaffung eines klaren Weges f\u00fcr die Meldepflicht an <a href=\"https:\/\/www.cisa.gov\" target=\"_blank\" rel=\"noopener\">CISA<\/a>. Der festgelegte Weg erleichtert einen funktions\u00fcbergreifenden Informationsaustausch zwischen CISA und anderen Bundesbeh\u00f6rden wie dem FBI. Diese Anforderungen werden es den Beh\u00f6rden erm\u00f6glichen, Daten zu sammeln und die Bedrohungsakteure schneller zu identifizieren. Dar\u00fcber hinaus werden in diesem Gesetz die Mindestanforderungen f\u00fcr die Meldung von Ransomware-Zahlungen und anderen Cybersicherheitsvorf\u00e4llen festgelegt.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Im Falle eines <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/it-gruselgeschichten-wie-ungepatchte-software-unternehmen-schadet\/\">Cybersicherheitsvorfalls<\/a> schreibt das Gesetz die folgenden Ma\u00dfnahmen vor:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Eine Mitteilung sollte innerhalb von 24 bis 72 Stunden an CISA erfolgen.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Diese Mitteilung muss eine umfassende Beschreibung des Vorfalls und der ausgenutzten Schwachstellen sowie aller Abwehrma\u00dfnahmen enthalten, die zum Zeitpunkt des Vorfalls vorhanden waren.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">In dem Bericht muss angegeben werden, welche Art von Informationen m\u00f6glicherweise kompromittiert worden sind.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Alle Kontaktinformationen oder andere zus\u00e4tzliche Informationen \u00fcber die verantwortlichen Parteien (den Angreifer) sollten offengelegt werden.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Die Kontaktdaten der betroffenen Einrichtung\/des betroffenen Unternehmens sollten CISA mitgeteilt werden.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Wenn ein <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/ransomware-erkennen\/\">Ransomware-Angriff gemeldet wird<\/a>, sollten das Datum der Zahlung, die Zahlungsanweisungen, die L\u00f6segeldforderung und der L\u00f6segeldbetrag angegeben werden.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Wie Sie sich vorstellen k\u00f6nnen, stellen diese Anforderungen eine Belastung f\u00fcr viele Organisationen und Unternehmen dar, die nicht in der Lage sind, einen Versto\u00df schnell zu erkennen und zu klassifizieren, bevor sie ihn melden.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Wir alle wissen, dass sich gr\u00f6\u00dfere Unternehmen interne IT-Mitarbeiter:innen oder Managed Service Provider leisten k\u00f6nnen, die in der Lage sind, diese Vorf\u00e4lle schnell und effizient zu melden, aber kleinere Unternehmen verf\u00fcgen m\u00f6glicherweise nicht \u00fcber diese Kapazit\u00e4ten. Es ist sogar noch unwahrscheinlicher, dass ein durchschnittliches KMU wei\u00df, wie es die relevanten Informationen sammeln und einen Bericht selbst einreichen kann.\u00a0<\/span><\/p>\n<h3><b>Risikobewertung und -minimierung<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Auch wenn der Strengthening Cybersecurity Act of 2022 Unternehmen, die au\u00dferhalb kritischer Infrastrukturen t\u00e4tig sind, nicht unmittelbar betrifft, sollten MSPs alle ihre Kunden dar\u00fcber aufkl\u00e4ren, dass der Schutz der Cybersicherheit ein entscheidender Schritt bei der Risikobewertung und -minimierung ist.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Die in diesem Gesetz festgelegten Normen werden wahrscheinlich irgendwann auch den privaten Sektor betreffen. Dies ist ein Schritt in die korrekte Richtung f\u00fcr die Sicherheit, und Unternehmen sollten sich darauf vorbereiten, indem sie ihre Cybersicherheitsrisiken bewerten und die notwendigen Schritte unternehmen, um sie zu beseitigen, bevor die neuen Vorschriften in Kraft treten.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Das sind einige Best Practices, die jedes Unternehmen ber\u00fccksichtigen sollte:<\/span><\/p>\n<ul>\n<li><b>Umfassende <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-ist-zero-trust-architektur-das-oberste-sicherheits-modell-erklaert\/\">Zero-Trust-Architektur<\/a> und Zugangskontrolle<\/b><span style=\"font-weight: 400;\">: Viele Unternehmen arbeiten immer noch mit uneingeschr\u00e4nktem Zugang zu sensiblen Daten und Systemen. Durch die Implementierung von Zero Trust und die Konfiguration der Zugangskontrolle nach dem Prinzip der Minimalprivilegien k\u00f6nnen sie den Zugang zu Netzwerken und zur IT-Umgebung einschr\u00e4nken und ihr Gesamtrisiko minimieren.<\/span><\/li>\n<li><b>Verbesserung der mobilen und ferngesteuerten Sicherheit:<\/b><span style=\"font-weight: 400;\"> Die Verbreitung von <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/vorteile-eines-unified-endpoint-management-fuer-ihr-business\/\">Remote-Arbeitsumgebungen und Bring Your Own Device (BYOD)-Richtlinien<\/a> haben f\u00fcr viele Unternehmen zus\u00e4tzliche Risiken geschaffen. Da Cyberkriminelle Mobilger\u00e4te und Remote-Arbeitspl\u00e4tze h\u00e4ufig ins Visier nehmen, sollten Benutzer:innen geeignete Ma\u00dfnahmen ergreifen, um diese Bedrohungsfl\u00e4chen zu sch\u00fctzen.\u00a0<\/span><\/li>\n<li><b>Entsch\u00e4rfung der h\u00e4ufigsten Bedrohungsvektoren:<\/b><span style=\"font-weight: 400;\"> Einfache Schritte in Richtung besserer Sicherheitspraktiken k\u00f6nnen f\u00fcr viele kleine und mittlere Unternehmen den Ausschlag geben. Die Einf\u00fchrung eines Passwortmanagers, die Aktivierung einer Multi-Faktor-Authentifizierung, wo immer dies m\u00f6glich ist, und die Durchf\u00fchrung von Schulungen zur Cybersicherheit k\u00f6nnen das Cyber-Risiko eines Unternehmens erheblich verringern.<\/span><\/li>\n<\/ul>\n<h3><b>Zus\u00e4tzliche \u00dcberlegungen<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Die Art und Weise, wie Unternehmen Vorf\u00e4lle im Bereich der Cybersicherheit verhindern und beheben, wird immer mehr standardisiert. Die Unterzeichnung dieses Gesetzes hat einige zus\u00e4tzliche Auswirkungen, die ber\u00fccksichtigt werden sollten.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">FedRAMP wurde geschaffen, um die Einf\u00fchrung und Verwendung von Cloud-Technologien durch die Bundesbeh\u00f6rden zu erleichtern, und unterst\u00fctzt diese bei der Implementierung moderner Cloud-Technologien mit Schwerpunkt auf Sicherheit. Die Einf\u00fchrung vom Strengthening American Cybersecurity Act of 2022 bietet Organisationen und Unternehmen innerhalb des <a href=\"https:\/\/www.fedramp.gov\" target=\"_blank\" rel=\"noopener\">Federal Risk and Authorization Management Program (FedRAMP)<\/a> die M\u00f6glichkeit, auf cloudbasierte Technologien umzusteigen.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Wir gehen davon aus, dass Regelungen f\u00fcr den privaten Sektor bereits in Arbeit sind, auch wenn es noch Jahre dauern k\u00f6nnte, bis wir etwas Schriftliches sehen werden. Wir wissen jedoch, dass die gesetzlich vorgeschriebenen Sicherheits- und Meldeanforderungen f\u00fcr kleinere Unternehmen oft unerschwinglich sind, sodass es bald notwendig sein k\u00f6nnte, dass die Regierung die Finanzierung der \u00dcberwachung und Behebungsma\u00dfnahmen subventioniert.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Viele Betroffene sind sich einig, dass ein steuerlicher Anreiz f\u00fcr KMUs, die ihre Cybersicherheit verbessern, auf dem Weg sein k\u00f6nnte. Dies w\u00e4re wahrscheinlich ein Segen f\u00fcr Managed Service Provider, die oft M\u00fche haben, ihre Kunden davon zu \u00fcberzeugen, dass die Kosten f\u00fcr die Cybersicherheit gerechtfertigt sind.\u00a0<\/span><\/p>\n<h2><b>Wie bleiben MSPs konform mit dem American CyberSecurity Act of 2022?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Der Strengthening American Cybersecurity Act sieht sowohl Strafen f\u00fcr die Nichteinhaltung als auch Vorteile f\u00fcr die Erf\u00fcllung der Anforderungen vor.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">Im Hinblick auf die Verantwortung von MSPs ist es wichtig zu wissen, dass CISA \u00fcber weitreichende Befugnisse verf\u00fcgt, um Informationen von einer betroffenen Einrichtung anzufordern, einschlie\u00dflich der Befugnis, Vorladungen zu erlassen. Wenn ein Unternehmen oder ein MSP bei Ermittlungen der CISA nicht kooperiert, kann der Fall zur Durchsetzung aufsichtsrechtlicher Ma\u00dfnahmen an das <a href=\"https:\/\/www.justice.gov\" target=\"_blank\" rel=\"noopener\">US-Justizministerium<\/a> weitergeleitet werden \u2013 einschlie\u00dflich Geldstrafen, Sanktionen und sogar Freiheitsentzug.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">Die andere Seite der Medaille besteht darin, dass konforme Unternehmen einen gewissen Schutz durch die Regierung erhalten. Wenn ein Unternehmen die Vorschriften einh\u00e4lt, ist es von jeder zivilrechtlichen Klage befreit, und die von ihm bereitgestellten Informationen k\u00f6nnen nicht gegen es verwendet werden, selbst wenn die Schwachstelle durch einen Fehler des Unternehmens entstanden ist.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">Um besser zu verstehen, wie sich das Gesetz auf Ihren MSP auswirken k\u00f6nnte, werfen wir einen Blick auf f\u00fcnf spezifische Abschnitte:<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Abschnitt 107. Anforderungen der Beh\u00f6rde an die Benachrichtigung durch private Einrichtungen, die von Vorf\u00e4llen betroffen sind<\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/h4>\n<p><span style=\"font-weight: 400;\">In diesem Abschnitt wird dargelegt, wie die betroffenen Einrichtungen Vorf\u00e4lle melden m\u00fcssen, die die Vertraulichkeit oder Integrit\u00e4t sensibler Informationen beeintr\u00e4chtigen k\u00f6nnen, insbesondere Informationen, die sich auf eine gesetzliche oder beh\u00f6rdliche Anforderung beziehen. In diesem Abschnitt werden auch die Meldepflichten f\u00fcr Vorf\u00e4lle beschrieben, die sich auf Informationssysteme auswirken k\u00f6nnen, die zur \u00dcbermittlung oder Speicherung sensibler Informationen verwendet werden.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Abschnitt 108. Mobile Sicherheitsstandards<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Dieser Abschnitt befasst sich mit der Bewertung der Sicherheit mobiler Anwendungen und enth\u00e4lt Leitlinien f\u00fcr die <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/anlegen-und-pflege-eines-it-asset-inventory\/\">F\u00fchrung eines kontinuierlichen Inventars aller im Unternehmen eingesetzten Mobilger\u00e4te<\/a>. Darin wird au\u00dferdem die gew\u00fcnschte mobile Sicherheitslage dargelegt und erkl\u00e4rt, wie relevante Daten mit CISA durch Automatisierung (falls zutreffend) ausgetauscht werden sollten.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Abschnitt 109. Speicherung von Daten und Protokollen f\u00fcr die Reaktion auf Vorf\u00e4lle<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Die Einzelheiten sind noch in Arbeit, aber das Gesetz wird letztendlich vorschreiben, welche Arten von Protokollen und Daten Sie f\u00fcr die betroffenen Einrichtungen speichern m\u00fcssen und wie lange diese Daten aufbewahrt werden m\u00fcssen. Es wird eine genaue Methode geben, wie sichergestellt werden kann, dass die Protokolle ausgew\u00e4hlten Regierungsbeh\u00f6rden f\u00fcr die Berichterstattung zur Verf\u00fcgung stehen, aber auch vertraulich bleiben, um pers\u00f6nlich identifizierbare Informationen zu sch\u00fctzen. Die genauen Einzelheiten zu diesem Abschnitt sollten innerhalb der n\u00e4chsten zwei Jahre festgelegt werden.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Abschnitt 112. Fortlaufendes Programm zur Bedrohungssuche<\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/h4>\n<p><span style=\"font-weight: 400;\">In diesem Abschnitt hei\u00dft es, dass die betroffenen Einrichtungen \u201eein Programm zur kontinuierlichen, hypothesengesteuerten Bedrohungssuche im Netzwerk jeder Beh\u00f6rde einrichten\u201c m\u00fcssen. Sie m\u00fcssen in der Lage sein, dar\u00fcber zu berichten, um welche Aktivit\u00e4ten es sich dabei handelt, welche Bedrohungen oder Schwachstellen sie aufgedeckt haben und was sie aus diesen Bedrohungssuchen gelernt haben.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">Die Bedrohungssuche ist Teil eines proaktiveren Ansatzes f\u00fcr die Cybersicherheit. Dieser Abschnitt zeigt, dass sich der Gesetzgeber nicht mehr damit zufrieden gibt, dass die Beh\u00f6rden einfach nur auf einen Angriff warten und bei Bedarf reagieren. Dies schafft viele M\u00f6glichkeiten f\u00fcr auf Cybersicherheit spezialisierte MSPs, die diese Bedrohungssuchdienste anbieten k\u00f6nnen.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Abschnitt 114. Implementierung einer Zero-Trust-Architektur<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Zero Trust ist eine Methode, die die Sicherheit interner Netzwerksysteme erh\u00f6ht, indem davon ausgegangen wird, dass keine Software, kein Benutzer und keine Daten als sicher oder legitim angesehen werden k\u00f6nnen. Im Rahmen dieses Konzepts sollten nur diejenigen Zugang erhalten, die ihn ben\u00f6tigen. Alles in allem bedeutet dies, dass Benutzer:innen, Administrator:innen und Anwendungen nur auf die Bereiche des Netzwerks zugreifen k\u00f6nnen, die f\u00fcr ihre Rolle wichtig sind.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><strong>Kurz gesagt, das Gesetz sieht vor, dass IT-Abteilungen:<\/strong><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">ein Team bilden oder Ressourcen bereitstellen, um Bedrohungen so schnell wie m\u00f6glich zu identifizieren, zu isolieren und zu beseitigen. In vielen F\u00e4llen wird der MSP oder MSSP dieser Anregung nachkommen, indem er diese Verantwortung \u00fcbernimmt.\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">H\u00f6ren Sie auf, Netzwerke als vertrauensw\u00fcrdig zu betrachten, und gehen Sie stattdessen davon aus, dass ein Zugriff m\u00f6glich ist. Implementieren Sie au\u00dferdem Kontrollen immer unter der Annahme, dass ein Risiko oder eine Bedrohung besteht.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Beachten Sie bei der Erstellung von Informationssicherheitsprogrammen und der Verwaltung des administrativen Zugriffs das Prinzip minimaler Privilegien.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Verwenden Sie Methoden und eine Architektur, die die seitliche Bewegung im Netzwerk einschr\u00e4nkt, zum Beispiel durch Mikro-Segmentierung.<\/span><\/li>\n<\/ul>\n<h2><b>Partnerschaft mit NinjaOne<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">NinjaOne hilft MSPs, ihr Gesch\u00e4ft effizient und sicher zu verwalten. Tausende von Benutzer:innen verlassen sich auf unsere hochmoderne <a href=\"https:\/\/www.ninjaone.com\/de\/rmm\/\">RMM-Software<\/a>, um die Herausforderungen des modernen IT-Managements zu bew\u00e4ltigen.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Sie sind noch kein NinjaOne-Partner? Wir wollen Ihnen immer noch helfen, Ihr Gesch\u00e4ft auszubauen! Besuchen Sie <a href=\"https:\/\/www.ninjaone.com\/de\/blog\/\">unseren Blog<\/a> mit MSP-Ressourcen und hilfreichen Leitf\u00e4den, melden Sie sich f\u00fcr Bento an, um wichtige Anleitungen in Ihren Posteingang zu erhalten, und nehmen Sie an unseren Live-Chats teil, um mit Channel-Expert:innen pers\u00f6nlich zu diskutieren.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\"> Wenn Sie bereit sind, <a href=\"https:\/\/www.ninjaone.com\/de\/partnerprogramm\/\">NinjaOne-Partner<\/a> zu werden, vereinbaren Sie einen Termin f\u00fcr eine Demo oder <a href=\"https:\/\/www.ninjaone.com\/de\/kostenlosetestversionformular\/\">starten Sie Ihre 14-t\u00e4gige Testphase<\/a>, um zu sehen, warum bereits \u00fcber 9.000 Kunden NinjaOne als Partner f\u00fcr Sicherheit und Remote-Management gew\u00e4hlt haben.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pr\u00e4sident Joe Biden unterzeichnete den Strengthening American Cybersecurity Act im M\u00e4rz 2022. Das Gesetz besteht aus verschiedenen Vorschriften, aber es sind die Anforderungen an die Meldung von Sicherheitsvorf\u00e4llen, die in der IT-Gemeinschaft f\u00fcr Aufsehen sorgen. Gegenw\u00e4rtig konzentrieren sich die Meldepflichten auf kritische Infrastrukturen, aber es besteht ein gro\u00dfes Potenzial, dass letztendlich auch Unternehmen in verschiedenen [&hellip;]<\/p>\n","protected":false},"author":35,"featured_media":139175,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4368],"tags":[],"class_list":["post-538342","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"acf":[],"modified_by":"Dragos Frangulea","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/538342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=538342"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/538342\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/139175"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=538342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=538342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=538342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}