Was ist in Bidens Executive Order zur Cybersicherheit „kritische“ Software?

Auf Anweisung von Präsident Biden hat das National Institute of Standards and Technology kürzlich eine aktualisierte Definition der „kritischen“ Softwarekomponenten herausgegeben, die üblicherweise in Lieferketten zu finden sind. Laut einem Cybersicherheitsexperten weist die Sprache jedoch eine merkwürdige Lücke auf.

Bei dem Vorschlag, welche Aspekte der Cybersicherheitstechnologie in die anfängliche Umsetzungsphase der Durchführungsverordnung der Regierung zur Überprüfung und Sicherung der kritischen Lieferketten des Landes aufgenommen werden sollten, schließt NIST eingebettete Software- und Firmware-Komponenten aus, bemerkt Eric Greenwald, General Counsel bei Finite State, einem Anbieter der angeschlossenen Gerätesicherheitssysteme.

In Anerkennung der Tatsache, dass solche Komponenten oft „kritisch“ für die Sicherung der IT sind. NIST weist jedoch darauf hin, dass sie von Natur aus zu komplex sind, um in die frühe Umsetzungsphase der Bemühungen der Regierung aufgenommen zu werden.

Laut NIST hat es seine Definition mit Beiträgen zahlreicher anderer Behörden abgestimmt, darunter die Cybersecurity &Infrastructure Security Agency (CISA), das Office of Management and Budget, das Office of the Director of National Intelligence und die National Security Agency. CISA, ein Teil des Department of Homeland Security, wird sich auf die Ergebnisse von NIST stützen, um eine eigene Liste von Softwarekategorien zu erstellen, die in den Geltungsbereich der ersten Phase der Überprüfung fallen.

Die Behauptung von NIST, dass eingebettete Software und Firmware – die grundlegenden Low-Level-Steuerungen für Gerätehardware – zu komplex sind, um sofort aufgenommen zu werden, ist in einer Antwort auf „häufig gestellte Fragen“ enthalten. Aber Greenwald sagt, er sei verwirrt über die kurze Aussage.

„Ich weiß nicht, was sie damit meinen“, sagt er und argumentiert, dass die NIST-Definition dazu führen könnte, dass wirklich kritische Elemente wie Firewalls ausgeschlossen werden, „nur weil sie auf Geräten und nicht auf Cloud-basiert sind“.

Greenwald ist sich bewusst, dass NIST es vorziehen könnte, zunächst keine Software zu verwenden, die auf einem Chipsatz in ein Gerät eingebettet ist. „Aber wenn man von einem Betriebssystem oder einer Anwendungsschicht-Software spricht, macht es für mich keinen Sinn, das als Kategorie auszuschließen. Es ist schwer zu verstehen, wie sie eine sinnvolle Unterscheidung zwischen Gerätesoftware und Firmware treffen können.“

„Komplexität“ rechtfertige die Unterscheidung nicht, sagt er. „Ich würde argumentieren, dass es umso wichtiger ist, dass höhere Sicherheitsstandards angewendet werden, je komplexer es ist.“

Eine mögliche Motivation für NIST, die Grenze bei eingebetteter Software und Firmware zu ziehen, ist der Wunsch, in der ersten Umsetzungsphase der Durchführungsverordnung „nicht mehr abzubeißen, als sie kauen können“, räumt Greenwald ein. Durch eine Überschreitung ihrer Definition von kritischer Software würde die Agentur riskieren, private Technologieunternehmen von der Beteiligung an der Beschaffung durch die Bundesregierung abzuhalten. Dennoch sei dies kein legitimer Grund, diese Klasse von Software von frühen Maßnahmen auszuschließen.

Die Unterscheidung mag manchen akademisch erscheinen, aber sie trifft den Kern dessen, welchen Technologieanbietern man vertrauen kann, dass sie wichtige Sicherheitssysteme sowohl für den öffentlichen als auch für den privaten Sektor liefern. Das Verteidigungsministerium hat kürzlich seine eigenen Standards für die Beschaffung verschärft und seine Cybersecurity Maturity Model Certification ausgestellt. CMMC schreibt vor, dass berechtigte Auftragnehmer Zertifizierungen von Drittanbietern einholen, um ihre Software an DOD zu verkaufen.

Greenwald sieht die Möglichkeit, ein Regime einzuführen, das sofort Hunderttausende von Auftragnehmern in einer rigorosen Compliance-Initiative mitreißt. „Es gibt Fragen, wer genau davon betroffen sein soll“, sagt er. „Mangel an Klarheit ist der Teufel.“

Der Mangel an Klarheit ist jedoch auch Greenwalds Sorge, wenn es um die offensichtliche Ablehnung eingebetteter Software und Unternehmen durch NIST als kritische Elemente geht, die von Bidens neu ernannter Task Force für Lieferkettenunterbrechungen sofortige Aufmerksamkeit erfordern. Er hofft, dass die Agentur ihre Absicht bald klarstellen wird oder dass CISA beschließt, die umstrittene Kategorie in seine endgültige Liste der anwendbaren Software aufzunehmen.

Wenn beide Behörden diese Komponenten jedoch weiterhin für Phase eins der Durchführungsverordnung weitergeben, "bin ich ziemlich zuversichtlich, dass sie in Phase zwei aufgenommen werden", sagt Greenwald. Sie ganz wegzulassen, würde die Bemühungen zur Absicherung von Systemen gegen jede Art von Cyberbedrohung ernsthaft gefährden.