Gesetzesentwurf fordert verpflichtendes Schwachstellen-Management in den USA

Der „Federal Contractor Cybersecurity Vulnerability Reduction Act of 2024“ markiert einen wichtigen Schritt in den Bemühungen der USA, die Cybersicherheit im Bereich der Lieferanten auf Bundesebene zu verbessern. Dieser Gesetzesentwurf zielt darauf ab, Sicherheitslücken in Informationssystemen, die von Auftragnehmern in Erfüllung ihrer Verträge mit der Regierung genutzt werden, zu reduzieren.

Kernpunkte des Gesetzes

Der „Federal Contractor Cybersecurity Vulnerability Reduction Act of 2024“ sieht mehrere zentrale Maßnahmen vor:

  • Verpflichtende Richtlinien: Das Gesetz würde Bundesauftragnehmer dazu verpflichten, Richtlinien zur Offenlegung von Sicherheitslücken (Vulnerability Disclosure Policies) einzuführen, die den Vorgaben des National Institute of Standards and Technology (NIST) entsprechen.
  • Anpassung der Vergabevorschriften: Das Office of Management and Budget (OMB) soll Aktualisierungen der Federal Acquisition Regulation (FAR) beaufsichtigen, um sicherzustellen, dass Lieferanten diese Richtlinien umsetzen.
  • Verteidigungssektor: Für Auftragnehmer im Verteidigungsbereich sieht das Gesetz vor, dass der Verteidigungsminister Aktualisierungen des Defense Federal Acquisition Regulation Supplement (DFARS) überwacht.

Bedeutung für die Cybersicherheit

Die Einführung von Richtlinien zum Schwachstellenmanagement bei Lieferanten auf Bundesebene ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit. Diese Richtlinien ermöglichen es den Organisationen, unaufgeforderte Berichte über Schwachstellen in ihrer Software zu erhalten und diese zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Die Umsetzung solcher Richtlinien fördert die verantwortungsvolle Meldung von Sicherheitslücken durch Forscher und trägt dazu bei, kritische Infrastrukturen und sensible Daten besser vor potenziellen Angriffen zu schützen.

Verbindung zu internationalen Standards

Besonders hervorzuheben ist die Ausrichtung des Gesetzes an internationalen Best Practices und Normen. Explizit werden die ISO/IEC 29147 und ISO/IEC 30111 genannt, die als Leitlinien für die Implementierung der VDPs dienen sollen.

  • ISO/IEC 29147: Dieser Standard bietet Richtlinien für die Offenlegung von Sicherheitslücken. Er definiert, wie Organisationen Informationen über potenzielle Schwachstellen empfangen und verarbeiten sollten.
  • ISO/IEC 30111: Dieser ergänzende Standard beschreibt Prozesse für die Behandlung von Schwachstellen, einschließlich der Entdeckung, Analyse und Behebung von Sicherheitslücken in Produkten und Online-Diensten.

Die Berücksichtigung dieser internationalen Standards unterstreicht das Bestreben, einen harmonisierten und global anerkannten Ansatz für die Cybersicherheit zu verfolgen.

Für eine detaillierte Erläuterung dieser Normen und ihre Bedeutung für ein effektives Schwachstellenmanagement verweisen wir auf unseren ausführlichen Beitrag „ISO/IEC 29147 & 30111: Schwachstellen professionell managen“. Dieser bietet einen besseren Einblick in die Anforderungen und Best Practices, die diese Normen für Anbieter von Produkten und Diensten definieren. Er erläutert, wie die Normen eine konstruktive Zusammenarbeit zwischen Anbietern, Sicherheitsforschern und Anwendern fördern und dabei helfen, Schwachstellen schnell zu erkennen, zu beheben und die Sicherheit von Systemen kontinuierlich zu verbessern.

Die Anwendung dieser Normen, wie sie nun auch im „Federal Contractor Cybersecurity Vulnerability Reduction Act of 2024“ vorgesehen ist, verspricht zahlreiche Vorteile: Von klar definierten Prozessen und Verantwortlichkeiten über eine effiziente und koordinierte Behandlung von Schwachstellen bis hin zu einer transparenten Kommunikation, die Vertrauen bei allen Beteiligten schafft.

Auswirkungen und Ausblick

Der Entwurf stellt einen wichtigen Schritt für die Cybersicherheit der USA dar. Er schließt eine kritische Lücke, indem es die Praktiken von Auftragnehmern an die der Behörden angleicht, denen sie dienen.

Für Unternehmen, die mit der US-Regierung zusammenarbeiten, bedeutet dies eine Anpassung ihrer Prozesse und Abläufe. Sie müssen Richtlinien zum Schwachstellenmanagement entwickeln und implementieren, die den NIST-Richtlinien bzw. den internationalen Standards entsprechen.

Langfristig verspricht dieser Ansatz eine Stärkung des gesamten Cybersicherheits-Ökosystems. Durch die proaktive Identifizierung und Adressierung von Schwachstellen können potenzielle Angriffsvektoren reduziert und die Widerstandsfähigkeit kritischer Systeme erhöht werden.

Die Verabschiedung dieses Gesetzes würde einen wichtigen Meilenstein in den Bemühungen um eine verbesserte nationale Cybersicherheit darstellen und könnte als Vorbild für ähnliche Initiativen in anderen Ländern dienen.

Kommentar hinzufügen