Von kritischer Infrastruktur zur Katastrophe: Zwei wichtige Berichte der Cyberspace Solarium Kommission zur Cybersicherheit

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung der Redaktion: Die Cyberspace Solarium Commission (CSC) wurde im John S. McCain National Defense Authorization Act für das Geschäftsjahr 2019 mit der Charta gegründet, einen Konsens über einen strategischen Ansatz zur Verteidigung der Vereinigten Staaten im Cyberspace gegen Cyberangriffe mit erheblichen Folgen zu entwickeln. Nach dem Vorbild von Dwight Eisenhowers „Project Solarium“, das eine nationale Übung in Strategie- und Politikgestaltung war, die einen Konsens in der nationalen Sicherheitsgemeinschaft für die Reaktion auf den sowjetischen Expansionismus schaffen sollte, hat die CSC vor kurzem zwei überzeugende Berichte veröffentlicht, die gesetzlich zu berücksichtigen sind, Fachleute für Unternehmen und Informationstechnologie, wenn sie strategische, operative und taktische Cyberabschreckung von einer makronationalen Ebene bis hin zu einer mikroorganisatorischen Ebene betrachten.

Bericht der Kommission für Cybersecurity Solarium

Der fertige Bericht wurde am 11. März 2020 der Öffentlichkeit vorgestellt.

Brief des Vorsitzenden von Senator Angus King und Vertreter Mike Gallagher

Unser Land ist in Gefahr, nicht nur durch einen katastrophalen Cyberangriff, sondern durch Millionen von täglichen Eindringlingen, die alles stören, von Finanztransaktionen bis hin zu den inneren Funktionsweisen unseres Wahlsystems. Die Komplexität dieser Herausforderung zu erfassen, ist schwer. Sogar der Mann, der mit der Erfindung des Begriffs „Cyberspace“, der Science-Fiction-Autor William Gibson zugeschrieben wurde, würde ihn später als ein „eindrucksvolles und im Wesentlichen bedeutungsloses“ Schlagwort kritisieren.

Bei der Untersuchung dieses Themas ist es leicht, in einen Morast von Klassifikation, Akronymen, Jargon und obskuren Organigrammen der Regierung abzusteigen. Um das zu vermeiden, haben wir etwas anderes ausprobiert: ein nicht klassifizierter Bericht, von dem wir hoffen, dass genau die Menschen, die von Cyberunsicherheit betroffen sind, lesbar sind — jeder. Dieser Bericht richtet sich auch an Maßnahmen; er enthält zahlreiche Empfehlungen zu organisatorischen, politischen und technischen Fragen, und wir haben einen Anhang mit Gesetzentwürfen aufgenommen, auf den der Kongress rasch reagieren kann, um diese Ideen in die Praxis umzusetzen und Amerika sicherer zu machen.

Die Realität ist, dass wir im Cyber gefährlich unsicher sind. Ihr ganzes Leben — Ihr Gehaltsscheck, Ihr Gesundheitswesen, Ihr Strom — setzt zunehmend auf Netzwerke digitaler Geräte, die Daten speichern, verarbeiten und analysieren. Diese Netzwerke sind anfällig, wenn sie nicht bereits gefährdet sind. Unser Land hat Hunderte von Milliarden Dollar an nationalstaatlich geförderten Diebstahl geistigen Eigentums mit Cyberspionage verloren. Ein großer Cyberangriff auf die kritische Infrastruktur und das Wirtschaftssystem der Nation würde Chaos und dauerhafte Schäden verursachen, die höher sind als die durch Brände in Kalifornien, Überschwemmungen im Mittleren Westen und Hurrikane im Südosten.

Um dies zu verhindern, beschreibt unser Bericht eine neue Cyberstrategie und enthält mehr als 75 Handlungsempfehlungen im öffentlichen und privaten Sektor. Hier sind einige große Ideen, um das Gespräch zu beginnen.

Erstens ist Abschreckung im Cyberspace möglich. Heute fühlen sich die meisten Cyber-Akteure unbeirrt, wenn nicht gestärkt, um auf unsere persönlichen Daten und die öffentliche Infrastruktur abzuspielen. Mit anderen Worten, durch unsere Unfähigkeit oder mangelnde Bereitschaft, unsere Cyber-Gegner zu identifizieren und zu bestrafen, signalisieren wir, dass die Einmischungen in amerikanische Wahlen oder das Diebstahl von Milliarden an geistigem Eigentum in den USA akzeptabel ist. Bund und Privatwirtschaft müssen sich verteidigen und mit Geschwindigkeit und Agilität zurückschlagen.

Das ist schwierig, weil die Regierung nicht so optimiert ist, schnell oder agil zu sein, aber wir müssen einfach schneller sein als unsere Gegner, um zu verhindern, dass sie unsere Netzwerke und damit unsere Lebensweise zerstören. Unsere Strategie der mehrschichtigen Cyberabschreckung ist auf dieses Ziel ausgerichtet. Es kombiniert erhöhte Widerstandsfähigkeit mit verbesserten Attributionsfunktionen und einer klareren Signalstrategie mit kollektivem Handeln unserer Partner und Verbündeten. Es ist ein einfacher Rahmen, der darlegt, wie wir uns zu einem harten Ziel, einem guten Verbündeten und einem schlechten Feind entwickeln.

Zweitens beruht Abschreckung auf einer widerstandsfähigen Wirtschaft. Während des Kalten Krieges wurden unsere besten Köpfe beauftragt, Kontinuität der Regierungspläne zu entwickeln, um sicherzustellen, dass die Regierung überleben und die Nation sich nach einem Atomschlag erholt. Wir brauchen heute eine ähnliche Planung, um sicherzustellen, dass wir nach einem Cyberangriff auf nationaler Ebene wieder aufbauen können. Wir müssen auch dafür sorgen, dass unsere Wirtschaft weiter läuft. Wir empfehlen der Regierung, einen Continuity of the Economy Plan einzurichten, um sicherzustellen, dass wir kritische Funktionen in Unternehmen und Branchen schnell wiederherstellen und die Wirtschaft nach einem katastrophalen Cyberangriff wieder zum Laufen bringen können. Ein solcher Plan ist eine grundlegende Säule der Abschreckung — eine Möglichkeit, unseren Gegnern zu sagen, dass wir als Gesellschaft überleben werden, um sie mit Geschwindigkeit und Beweglichkeit zu besiegen, wenn sie einen großen Cyberangriff gegen uns starten.

Drittens erfordert Abschreckung eine Reform der Regierung. Wir müssen bestehende Cyber-Agenturen, insbesondere die Cyber-Sicherheit und Infrastruktur Security Agency (CISA), erhöhen und stärken und neue Schwerpunkte für die Koordinierung der Cybersicherheit in der Exekutivabteilung und im Kongress schaffen. Zu diesem Zweck empfehlen wir die Schaffung eines National Cyber Director mit Aufsicht von neuen Kongresskomitees für Cybersicherheit, aber unser Ziel ist es nicht, mehr Bürokratie mit neuen und doppelten Rollen und Organisationen zu schaffen. Vielmehr schlagen wir vor, bestehenden Organisationen die Werkzeuge zu geben, die sie brauchen, um schnell und flexibel zu handeln, um unsere Netzwerke zu verteidigen und unseren Gegnern Kosten aufzubringen. Der Schlüssel ist die CISA, die wir als Leitagentur für die Cybersicherheit des Bundes und als bevorzugter Partner des Privatsektors bestärken wollen. Wir wollen, dass die Arbeit bei CISA so attraktiv für junge Fachkräfte wird, die an nationalen Diensten interessiert sind, dass es mit der NSA, dem FBI, Google und Facebook um Top-Level-Talente (und Siege) konkurriert.

Viertens wird die Abschreckung von Einrichtungen des privaten Sektors verlangen, ihre Sicherheitslage zu verstärken und zu stärken. Der Großteil unserer kritischen Infrastruktur ist Eigentum des Privatsektors. Aus diesem Grund geben wir bestimmte Empfehlungen ab, wie z. B. die Einrichtung einer Cloud-Sicherheitszertifizierung oder die Modernisierung der Rechenschaftspflicht von Unternehmen. Wir wollen den privaten Sektor nicht mit aufwändigen und kontraproduktiven Vorschriften besetzen, noch wollen wir Unternehmen zwingen, ihre Daten an die Bundesregierung zu übergeben. Wir sind nicht die Kommunistische Partei Chinas, und unser bester Weg, um unsere Gegner zu schlagen, ist es, frei und innovativ zu bleiben. Aber wir brauchen Führungskräfte der C-Suite, um Cyber ernst zu nehmen, da sie an vorderster Front sind. Mit Unterstützung der Bundesregierung müssen Unternehmen des Privatsektors in der Lage sein, schnell und flexibel zu handeln, um Cyber-Angreifer daran zu hindern, in ihren Netzwerken und in der größeren Anzahl von Netzwerken, auf die die Nation angewiesen ist, ausbrechen.

Fünftens muss die Wahlsicherheit zu einer Priorität werden. Das amerikanische Volk hat immer noch nicht die Gewissheit, dass unsere Wahlsysteme vor fremden Manipulationen geschützt sind. Wenn wir die Wahlsicherheit nicht richtig bekommen, wird die Abschreckung scheitern und zukünftige Generationen werden mit Sehnsucht und Bedauern auf die einst mächtige Amerikanische Republik zurückblicken und sich fragen, wie wir das Ganze vermasselt haben. Wir sind der Meinung, dass wir die Mittel zur Finanzierung der Modernisierung der Wahlinfrastruktur auf staatlicher und lokaler Ebene fortsetzen müssen. Gleichzeitig müssen Staaten und Ortschaften ihren fairen Anteil zahlen, um Wahlen zu sichern, und sie können auf nützliche Ressourcen zurückgreifen — wie gemeinnützige Organisationen, die in allen 50 Staaten schneller und agiler handeln können —, um Wahlen von unten nach oben zu sichern, anstatt auf Top-Down-Richtung und Finanzierung zu warten. Wir müssen auch sicherstellen, dass unabhängig von der Methode der Abgabe einer Abstimmung, Papier oder elektronisch, ein Papierprüfpfad existiert (und ja, wir erkennen die Ironie einer Cyberkommission an, die einen Papierspur empfiehlt).

Wir haben nicht alles in diesem Bericht gelöst. Wir haben uns nicht einmal auf alles geeinigt. Es gibt Bereiche, wie z. B. den Ausgleich der maximalen Verschlüsselung gegenüber dem obligatorischen rechtmäßigen Zugriff auf Geräte, in denen wir am besten eine gemeinsame Erklärung von Grundsätzen liefern konnten. Doch jeder einzelne Kommissar war bereit, im Laufe unserer Arbeit Kompromisse zu machen, weil wir alle durch die Anerkennung vereint waren, dass der Status quo die Arbeit nicht erledigt. Der Status quo lädt jede Sekunde eines jeden Tages Angriffe auf Amerika ein. Der Status quo ist eine langsame Übergabe amerikanischer Macht und Verantwortung. Wir alle wollen, dass das aufhört. Also bitte tun Sie uns und Ihren Mitamerikanern einen Gefallen. Lesen Sie diesen Bericht und fordern Sie dann, dass Ihre Regierung und der Privatsektor schnell und flexibel handeln, um unsere Cyber-Zukunft zu sichern.

Senator Angus King (I-Maine)

Vertreter Mike Gallagher (R-Wisconsin)

Lesen Sie das vollständige Papier bei The Cyberspace Solarium Commission Report

Bericht der Cyberspace Solarium Kommission (PDF) Mouseover to Scroll

CSC Abschlussbericht

Ursprüngliche Quelle: Cyberspace Solarium Kommission

Cybersicherheitslehren aus der Pandemie

Der fertige Bericht wurde am 2. Juni 2020 der Öffentlichkeit vorgelegt.

Auszug aus der Zusammenfassung der Geschäftsleitung

Die COVID-19-Pandemie veranschaulicht die Herausforderung, Resilienz und Kontinuität in einer vernetzten Welt zu gewährleisten. Viele der Auswirkungen dieser neuen Krisenart können durch Vorbereitungen, die Resilienz, Kohärenz und Konzentration hervorbringen, erheblich verbessert werden, da sie sich schnell über das gesamte System ausbreitet, wobei alles von Rettungsdiensten und Lieferketten bis hin zu grundlegenden menschlichen Bedürfnissen und psychischen Gesundheit hervorgehoben wird. Die Pandemie erzeugt kaskadierende Effekte und hohe Unsicherheit. Sie hat normale politische Entscheidungsprozesse untergraben und zwang die Entscheidungsträger, in Ermangelung der erforderlichen Bereitschaft, übereilte und Ad-hoc-Notfallmaßnahmen zu erstellen. Wenn nicht ein neuer Ansatz entwickelt wird, werden Krisen wie COVID-19 weiterhin die moderne amerikanische Lebensweise in Frage stellen, wenn sie auftauchen. Dieser Anhang sammelt Beobachtungen aus der Pandemie in Bezug auf die Sicherheit des Cyberspace, sowohl in Bezug auf die Cybersicherheits-Herausforderungen, die es schafft, als auch was es den Vereinigten Staaten lehren kann, wie man sich auf eine große Cyberstörung vorbereitet. Diese Erkenntnisse und die dazugehörigen Empfehlungen, von denen einige neu sind, von denen einige im ursprünglichen Bericht vom März 2020 enthalten sind, sind jetzt dringlicher denn je.

Lesen Sie das komplette Papier unter Cybersecurity Lektionen aus der Pandemie

Cybersicherheitslehren aus der Pandemie (PDF) Mouseover zum Scrollen

Cybersicherheitslehren aus der Pandemie — CSC-Whitepaper

Ursprüngliche Quelle: Cyberspace Solarium Kommission

Zusätzliche Lesung

Überlegen Sie Cybersicherheit? Nationale Cybersicherheit in der Praxis: Ein neues Handbuch

Ein relevantes Ransomeware-Szenario: Die Zielsetzung von Kommunalverwaltungen und Gesundheitsdienstleistern

Quelle: ComplexDiscovery

Die Baseline zurücksetzen? eDiscovery-Marktgrößenanpassungen für 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Neu von NIST: Integration von Cybersecurity und Enterprise Risk Management (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Eine bewölkte Allianz? Eine Cloud der nächsten Generation für Europa

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Fünf große Lesevorgänge auf eDiscovery für Oktober 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Das eDisclosure Systems Buyers Guide — 2020 Edition (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Das Rennen zur Startlinie? Aktuelle Ankündigungen zur sicheren Remote-Überprüfung

Not all secure remote review offerings are equal as the apparent...

Remote-eDiscovery aktivieren? Eine Momentaufnahme von DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Die Baseline zurücksetzen? eDiscovery-Marktgrößenanpassungen für 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Heim oder weg? Überlegungen zur Größenbestimmung und Preisgestaltung im eDiscovery-Sammlungsmarkt

One of the key home (onsite) or away (remote) decisions that...

Revisionen und Entscheidungen? Neue Überlegungen für eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Ein makroökonomisches Blick auf die Größe der vergangenen und projizierten eDiscovery-Märkte von 2012 bis 2024

From a macro look at past estimations of eDiscovery market size...

Eine Jahreszeit des Wandels? Achtzehn Beobachtungen zum Vertrauen der eDiscovery-Unternehmen im Herbst 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Der anhaltende Fall von Haushaltszwängen im Geschäft von eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Ausstehende Konten? eDiscovery-Betriebs-Metriken im Herbst 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Halten Sie das Ruder? Ergebnisse der Umfrage zum Vertrauen der Unternehmen im Herbst 2020

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO sammelt 60 Millionen US-Dollar

According to the media release, DISCO will use this investment to...

Rampiva und die RYABI Gruppe verschmelzen

According to today's announcement, the RYABI Group merger is Rampiva's first...

eDiscovery-Fusionen, Übernahmen und Investitionen im 3. Quartal 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech erwirbt Acuity ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Fünf große Lesevorgänge auf eDiscovery für Oktober 2020

From business confidence and captive ALSPs to digital republics and mass...

Fünf große Lesevorgänge auf eDiscovery für September 2020

From cloud forensics and cyber defense to social media and surveys,...

Fünf große Lesevorgänge auf eDiscovery für August 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Fünf große Lesevorgänge auf eDiscovery für Juli 2020

From business confidence and operational metrics to data protection and privacy...