Anordnung des Präsidenten zur US-Cybersicherheit – schrecklich viel Blabla
Dieser Tage machen es sich viele fast schon zum Sport, Kritik an US-Präsident Trump auszusprechen. Die Meisten nehmen dabei kein Blatt vor den Mund. Andere geben aus ihrer Not heraus ungefragt kostenlose Ratschläge. In vielen Fällen zeigt die Kritik echte Verzweiflung. Der große administrative Wasserkopf der USA hat jedoch kein Gehör für Vorschläge von Praktikern außerhalb des Systems. Dabei haben genau die den Überblick und die praktische Erfahrung.
Die US Cybersicherheit ist in Gefahr
Zuletzt hielt Ed Amoroso eine flammende Rede in Sachen US-Cybersicherheit. Amoroso war einst Chief Information Security Officer bei AT&T. Er schimpfte auf der Borderless Cyber Konferenz über die kürzlich veröffentlichte Anordnung des Präsidenten zur US-Cybersicherheit, die mehr Papierkram produziert als handfestes Handeln. Sie sei absolut schrecklich. Er wunderte sich, wer das eigentlich alles lesen würde. Er sieht das ganze Vorgehen als große Gefahr für die USA. Schon zuvor hatte er in einen offenen Brief an den Präsidenten appelliert, verschiedenes zu ändern. Beispielsweise vorrangig die Umschreibung der Anordnung zur Cybersicherheit und die Vorschläge des Nationalen Instituts für Standards und Technologie anzuwenden. Das US-Institut hat IT-Sicherheitsnormen aufgestellt und es befürwortet die Cloud-Technologien.
Amaroso hatte Washington bereits in einem seiner früheren Blogartikel aufgefordert,
„sich auf ein paar Dinge zu konzentrieren und sie dafür richtig zu machen.“
Fraglich, ob das jemand von den Verantwortlichen gelesen hat. Jedenfalls wird Amaroso nicht müde, weiter auf dem Thema herumzupochen. Auf der Konferenz hatte er drei entscheidende Vorschläge bereit, welche die US-Cybersicherheit wirklich sicher machen würden.
Erstens sollte NIST die einzige Norm für die alles rund um die Cybersicherheit der Regierung sein.
Der Cloud bietet mehr Schutz wie die US Regierung
Zweitens sollte mit der Perimetersicherheit aufgehört werden. Die Cloud lasse Mikro-Segementation zu. Das macht es Angreifern viel schwieriger Zugang zu finden. Alle Regierungsdaten und die entsprechenden Prozesse sollten in die Cloud verfrachtet werden. Am Beispiel Hillary Clinton zeigt er die Vorteile auf. Sie wurde bei der letzten Wahl nicht gehackt, weil ihre E-Mails sich nicht innerhalb der Perimetersicherheit der US-Regierung befanden. Ihre E-Mails befanden sich in der Cloud.
Drittens sollte ein Cyberkorps ins Leben gerufen werden. Ähnlich wie das Friedenskorps, sollte es jungen Amerikanern helfen, Cybersicherheit zu lernen und anzuwenden. Wie Brian Krebs schon in seinem Artikel anprangerte, haben die USA großen Bedarf an Informatikern. Viele IT-Stellen sind schon jetzt unbesetzt aufgrund des enormen Fachkräftemangels. Es gäbe zwar schon ein kleines Cyber Corps Programm. Allerdings müsste es zehn Mal größer sein. Momentan würden die wenigen CISOs Zivilverteidigung betreiben – das sei nicht ihre Aufgabe.
Er schloss seine Rede mit dem Hinweis, dass der USA die Zeit ausgeht. Schon jetzt machen es die Russen und die Chinesen vor. Sie seien viel weiter und machen mit den US-Netzwerken, was sie wollen. Amoroso sagte:
„Wenn schlechte Sicherheitsentscheidungen getroffen werden, könnten das schon morgen oder in 20 Jahren Konsequenzen haben. Ganz sicher werden sie aber kommen.“
Artikel von threatpost.com, 21.06.2017: Trump’s Cybersecurity Executive Order Under Fire
Artikel von techrepublic.com, 22.07.2017: Trump’s cybersecurity EO is ‚terrible‘ says former AT&T CISO, recommends focus on 3 areas
Beitragsbild: (c) by Shutterstock.com
