Bidens umfassende Cybersicherheitsrichtlinie zur Stärkung digitaler Infrastrukturen und KI-Nutzungen
Artikel jetzt als Podcast anhören
Bidens Neue Executive Order: Ein Rundumschlag für Cybersicherheit, KI und mehr
Kurz vor Ende seiner Amtszeit hat US-Präsident Joe Biden eine umfassende Cybersicherheitsrichtlinie erlassen, die Verbesserungen bei der Überwachung von Regierungsnetzwerken, dem Softwareeinkauf, dem Einsatz Künstlicher Intelligenz und der Sanktionierung ausländischer Hacker vorsieht. Die 40-seitige Executive Order ist der letzte Versuch des Weißen Hauses unter Biden, die Sicherheitsvorteile der KI zu nutzen, digitale Identitäten für US-Bürger einzuführen und Sicherheitslücken zu schließen, die China, Russland und anderen Gegnern wiederholt das Eindringen in US-Regierungssysteme ermöglicht haben.
Die Anordnung zielt darauf ab, "Amerikas digitale Grundlagen zu stärken und die neue Regierung und das Land auf den Weg zu anhaltendem Erfolg zu bringen", erklärte Anne Neuberger, Bidens stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien.
Fokus auf die Sicherheit von Regierungsnetzwerken
Im Mittelpunkt der Executive Order steht eine Reihe von Vorgaben zum Schutz von Regierungsnetzwerken, die auf den Lehren aus den jüngsten schwerwiegenden Sicherheitsvorfällen beruhen – insbesondere den Sicherheitslücken bei staatlichen Auftragnehmern. Softwareanbieter müssen künftig nachweisen, dass sie sichere Entwicklungspraktiken befolgen. Die Cybersecurity and Infrastructure Security Agency (CISA) wird diese Sicherheitsnachweise überprüfen und mit den Anbietern zusammenarbeiten, um etwaige Probleme zu beheben. Das Büro des National Cyber Director im Weißen Haus wird zudem "ermutigt", ungültige Nachweise an den Generalstaatsanwalt zur möglichen Untersuchung und Strafverfolgung weiterzuleiten.
Das Handelsministerium hat acht Monate Zeit, um die gängigsten Cyberpraktiken in der Wirtschaft zu bewerten und entsprechende Richtlinien zu erlassen. Kurz darauf werden diese Praktiken für Unternehmen, die mit der Regierung Geschäfte machen wollen, verpflichtend. Die Richtlinie gibt außerdem den Startschuss für Aktualisierungen der Richtlinien des National Institute of Standards and Technology (NIST) für sichere Softwareentwicklung.
Schutz von Cloud-Plattformen und IoT-Geräten
Ein weiterer Teil der Richtlinie konzentriert sich auf den Schutz der Authentifizierungsschlüssel von Cloud-Plattformen, deren Kompromittierung China den Diebstahl von Regierungs-E-Mails von Microsoft-Servern und den jüngsten Supply-Chain-Hack des Finanzministeriums ermöglichte. Das Handelsministerium und die General Services Administration (GSA) haben 270 Tage Zeit, um Richtlinien für den Schlüsselschutz zu entwickeln, die dann innerhalb von 60 Tagen für Cloud-Anbieter verbindlich werden.
Um Bundesbehörden vor Angriffen zu schützen, die auf Schwachstellen in IoT-Geräten beruhen, legt die Anordnung den 4. Januar 2027 als Frist für Behörden fest, nur noch IoT-Geräte für Verbraucher zu kaufen, die das neu eingeführte US Cyber Trust Mark-Label tragen.
Stärkung der CISA und der Einsatz von KI
Die Anordnung stärkt die Fähigkeit der CISA, Cyberangriffe in der gesamten Regierung zu beobachten, indem sie auf die Sicherheitssoftware anderer Behörden zugreift. Dies ist ein Versuch, Sichtbarkeitslücken zu schließen, die Angreifer bei vielen Einbrüchen erfolgreich ausgenutzt haben, insbesondere beim SolarWinds-Hack im Jahr 2020. Behörden müssen der CISA direkten Zugriff auf ihre Sicherheitsplattformen gewähren und unangekündigte Threat-Hunting-Aktivitäten in ihren Netzwerken zulassen.
Die Sicherheitsrisiken und -chancen der KI spielen in der Executive Order eine wichtige Rolle. Das Dokument weist das Energieministerium und das Heimatschutzministerium an, ein Pilotprogramm zum Einsatz von KI für den Schutz der Energieinfrastruktur zu starten, mit dem Ziel, Dinge wie die Erkennung von Schwachstellen und das Patchen zu automatisieren. Das Verteidigungsministerium muss ein Programm zum Einsatz "fortschrittlicher KI-Modelle" für die Cyberabwehr starten.
Biden möchte außerdem, dass das Heimatschutzministerium, das Handelsministerium und die National Science Foundation die Forschung zu Themen wie der Koordinierung von Menschen und KI-Tools bei der Analyse von Cyber-Bedrohungsdaten, der Gewährleistung der Sicherheit von KI-generiertem Code, dem Entwurf sicherer KI-Modelle und der Verhinderung und Wiederholung von Cybervorfällen mit KI-Systemen priorisieren.
Digitale Identität und weitere Bestimmungen
Bidens Anordnung versucht, die Nutzung digitaler Identitätsdokumente durch Behörden zu beschleunigen, um die Bürgerdienste zu optimieren und Verschwendung und Betrug zu reduzieren. Die Richtlinie fordert die Behörden auf, "die Annahme digitaler Identitätsdokumente" als Nachweis der Berechtigung für öffentliche Leistungen zu "erwägen". Das Handelsministerium hat 270 Tage Zeit, um Leitlinien zu erstellen, die den Behörden dabei helfen.
Weitere Bestimmungen in der Executive Order betreffen Empfehlungen der Regierung zur Sicherung von Open-Source-Software, Aktualisierungen der Cyberanforderungen in Verträgen für Weltraumsysteme, Vertragsänderungen zur Sicherstellung, dass neue Technologien die Post-Quanten-Kryptografie unterstützen, und die Verwendung von Verschlüsselung in DNS-Technologien, E-Mail-Systemen sowie Sprach- und Videokonferenzplattformen. Es gibt auch eine Bestimmung, die das Office of Management and Budget (OMB) verpflichtet, Behörden bei der Reduzierung von Risiken im Zusammenhang mit der Konzentration auf dem IT-Markt zu unterstützen – ein kaum verhohlener Seitenhieb auf Microsoft.
Die Anordnung senkt auch die Hürde für die Regierung, Personen zu sanktionieren, die Cyberangriffe auf kritische US-Infrastrukturen starten, wodurch die Hindernisse für den Einsatz einer der beliebtesten Reaktionen Washingtons auf größere Hacks möglicherweise verringert werden.
Bibliographie: https://www.wired.com/story/biden-executive-order-cybersecurity-ai-and-more/ https://www.securityweek.com/biden-signs-executive-order-aimed-at-growing-ai-infrastructure-in-the-us/ https://cyberscoop.com/biden-administration-cybersecurity-executive-order-2025/ https://www.whitehouse.gov/briefing-room/presidential-actions/2025/01/14/executive-order-on-advancing-united-states-leadership-in-artificial-intelligence-infrastructure/ https://www.wired.com/category/politics/policy/ https://www.reuters.com/technology/artificial-intelligence/biden-issue-executive-order-ensure-power-ai-data-centers-2025-01-14/ https://www.commerce.gov/news/press-releases/2024/02/biden-harris-administration-announces-first-ever-consortium-dedicated https://smsystems.com/ https://www.whitehouse.gov/briefing-room/presidential-actions/2024/10/24/memorandum-on-advancing-the-united-states-leadership-in-artificial-intelligence-harnessing-artificial-intelligence-to-fulfill-national-security-objectives-and-fostering-the-safety-security/ https://www.insidegovernmentcontracts.com/2024/07/may-2024-developments-under-president-bidens-cybersecurity-executive-order-national-cybersecurity-strategy-and-ai-executive-order/
