Das neue Gesetz des US-Repräsentantenhauses bricht neues Terrain in Aktion und Absicht. Es hat landesweit viel Lob von Gesetzgebern und Branchenbeteiligten in den USA erhalten und wird als Vorlage für ähnliche Gesetzgebungen in anderen Ländern dienen. Shieldworkz hat in der letzten Ausgabe unseres Bedrohungslandschaftsberichts über die Kluft zwischen der Anzahl der gemeldeten Cyberangriffe und dem Volumen der von Hackern im Dark Web und anderen Foren geleakten Daten gesprochen. Diese Anomalie deutet auf die Unterberichterstattung von Cyberangriffen durch Unternehmen aus verschiedenen Gründen hin.  

Das neue Gesetz wird die Infrastruktur unternehmen verpflichten, einen Verstoß innerhalb von 72 Stunden nach seiner Entdeckung zu melden. Nach Jahren, in denen auf ein Mechanismus der freiwilligen Erklärung gesetzt wurde, macht das neue Gesetz es nun für solche Unternehmen obligatorisch, Informationen mit der Cybersecurity and Infrastructure Security Agency auszutauschen.

Schauen wir uns einige andere wichtige Aspekte dieses Gesetzes an

• Vorschlag zur Einrichtung eines Cyber Incident Review Office oder des CIR-Büros innerhalb der Cybersecurity and Infrastructure Security Agency (CISA), im US-Ministerium für innere Sicherheit (DHS)

• Das CIR-Büro wird den zeitgerechten Austausch von Informationen zwischen Betreibern von kritischen Infrastrukturen und der breiteren Geheimdienstgemeinschaft ermöglichen

• Es bringt einen obligatorischen Berichterstattungsrahmen mit sich, der definiert, wie und was nach einem Cyberangriff zu melden ist. 

• CISA ist die Behörde, die dafür zuständig ist, Berichte über Verstöße zu erhalten. Dies war in der Vergangenheit eine große Sorge, da viele Unternehmen Verstöße an das Federal Bureau of Investigation übermittelten, in der Hoffnung, dass der Bericht letztendlich bei der zuständigen Behörde ankommt, die über den Verstoß informiert werden muss

• CISA erhält 9 Monate Zeit, um die Grundlage für die Meldung von Cyberangriffen vorzubereiten, einschließlich welcher Unternehmen solche Angriffe melden müssen, welche Arten von Angriffen gemeldet werden sollten und in welchem Format die Meldung erfolgen soll

• CISA wird die von den Unternehmen übermittelten Informationen vertraulich behandeln. Das CIR-Büro wird jedoch in der Lage sein, vierteljährliche nichtklassifizierte Berichte zu veröffentlichen, die aggregierte, anonymisierte Beobachtungen und Empfehlungen basierend auf den von Unternehmen eingereichten Cybervorfallsberichten beschreiben

• Unternehmen haben 72 Stunden Zeit, um ihre Berichte einzureichen

• Das Büro des CIR wird auch daran arbeiten, Möglichkeiten zu identifizieren, um die bereitgestellten Daten zu nutzen, um die Cybersecurity-Forschung durch akademische Institutionen und Organisationen im privaten Sektor zu stärken. Dieses Büro wird auch bedeutende Vorfälle überprüfen und Vorschläge machen, wie diese in Zukunft verhindert werden können

Das Gesetz schreibt auch eine breite Definition eines Cybersecurity-Ereignisses vor, um mehr Cyberangriffe abzudecken. Damit ein Cybersecurity-Vorfall gemäß dem Gesetz als solcher kategorisiert werden kann, muss mindestens eines der folgenden Kriterien erfüllt sein:

• Unbefugter Zugriff auf Informationssysteme oder Netzwerke, der zu einem Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationssystemen/Netzen führt oder Auswirkungen auf die Sicherheit und Widerstandsfähigkeit verschiedener Betriebsysteme und -prozesse hat.

• Störung von Industrieoperationen oder Geschäften aufgrund eines DDoS- oder Ransomware-Angriffs oder aufgrund der Ausnutzung einer Zero-Day-Sicherheitsanfälligkeit in Informationssystemen oder Netzwerken 

• Unbefugter Zugriff oder Störung des Geschäfts oder industrieller Operationen aufgrund eines Verlustes des Dienstes, der durch einen Kompromiss eines Cloud-Service-Anbieters, Managed Service Providers, eines anderen Drittanbieter-Datenhosting-Anbieters oder durch einen Lieferkettenangriff ermöglicht wurde.

Gemäß den Bestimmungen des Gesetzes hat der Direktor des DHS die Befugnis, eine zivilrechtliche Vorladung an eine „gedeckte Einheit“ auszustellen, wenn diese keinen Cybersecurity-Vorfall meldet. Der Direktor kann auch eine „Untersuchung“ durchführen, „um das situative Bewusstsein der Behörde für Cybersecurity-Bedrohungen in kritischen Infrastruktursektoren zu verbessern, in einer Weise, die mit den Schutzmaßnahmen für Privatsphäre und Bürgerrechte gemäß geltendem Recht übereinstimmt“.