Die USA wollen sich stärker vor Cyberangriffen schützen

Als FBI-Direktor Christopher Wray im Januar 2024 vor dem US-Kongress aussagte, fielen deutliche Worte. Hacker mit Verbindungen zur chinesischen Regierung zielten auf die amerikanische Infrastruktur ab, um gesellschaftlichen Schaden anzurichten, sagte der Leiter der Sicherheitsbehörde vor einem Sonderausschuss des Repräsentantenhauses. Die Angriffe würden Wasseraufbereitungsanlagen, Stromnetze und Pipelines ins Visier nehmen.

Wenige Wochen zuvor stoppte das FBI eine Operation der chinesischen Hackergruppe Volt Typhoon, die über Router in kritische Infrastrukturnetze eingedrungen war. Trotz des Erfolges dürften die bislang entdeckten Attacken nur die Spitze des Eisbergs sein. Ein Grund dafür, warum der Schutz der kritischen Infrastruktur im Mittelpunkt der 2023 vom Weißen Haus veröffentlichten National Cybersecurity Strategy steht. 

Regulierung erweist sich als wichtiger Markttreiber

Der nationale Aktionsplan gehört zu einer ganzen Reihe von Maßnahmen, welche die Standards für Informationssicherheit in den USA verbessern sollen. Um die Vorgaben zu erfüllen, müssen Infrastrukturbetreiber und private Unternehmen ihre Anstrengungen deutlich erhöhen.

Dies umfasst robustere Risikobewertungsprozesse, kontinuierliche Überwachung und die Implementierung fortgeschrittener Sicherheitsvorkehrungen. In der Folge erwartet der US-Markt für Cybersecurity ein hohes Wachstum. Nach Prognosen von Statista dürfte sich das Umsatzvolumen im Zeitraum 2024 bis 2028 um durchschnittlich 9,8 Prozent pro Jahr erhöhen.

Für den Schutz von kritischer Infrastruktur setzt die National Cybersecurity Strategy insbesondere auf sektorspezifische Regelungen in Form von Cybersecurity Performance Goals (CPG). Diese bauen auf Standards wie dem Cybersecurity Framework des National Institute of Standards and Technology (NIST CSF) auf.

Standards für Gesundheitssektor haben Priorität

Als erste Behörde veröffentlichte das Department of Health and Human Services (HHS) im Januar 2024 entsprechende CPG für den Gesundheitssektor. Die Umsetzung der Standards wie Multifaktor-Authentifizierung oder Datenverschlüsselung ist für Gesundheitseinrichtungen zunächst freiwillig.

Bereits in den kommenden zwei Jahren könnten jedoch verbindliche Regelungen folgen, beispielsweise für Anbieter im staatlichen Medicare-System, das Menschen im Ruhestand versorgt. Damit die Umsetzung nicht zu Kostenproblemen führt, stellt das HHS finanzielle Förderungen in Aussicht.

Der Handlungsbedarf ist dringend, denn das US-Gesundheitssystem ist eine Hauptzielscheibe für Hackerangriffe. Nach Studien des IT-Sicherheitsunternehmens Fortified Health Security waren im Jahr 2023 rund 116 Millionen Patientenakten von Datenlecks betroffen, eine Verdopplung gegenüber 2022. Im Dezember 2023 musste der Krankenhausbetreiber Ardent Health wegen einer Cyberattacke sogar teilweise seinen Betrieb einstellen.

Die Entwicklungen im Gesundheitssektor sollen als Blaupause für andere Bereiche dienen. Die Cybersecurity & Infrastructure Security Agency (CISA) hat 16 kritische Sektoren ausgemacht, für die es spezifische CPG geben soll. Durch die starke Bedrohung gibt es auch erste Initiativen auf Ebene der Bundesstaaten. Vorreiter New York hatte bereits Ende 2022 verbindliche Regularien für Stromnetzbetreiber in Kraft gesetzt. Ein Regelwerk für Krankenhäuser soll 2024 folgen. Zudem will der Staat New York bis 2025 schrittweise Standards für den Finanzsektor vorschreiben.

Verschärfte Pflichten für börsennotierte Unternehmen

Neben den Gefahren für die Infrastruktur entstehen durch Cyberangriffe auch immense wirtschaftliche Schäden. Laut dem "The State of Ramsonware in the U.S. Report" von Emisoft wurden im Jahr 2023 neben 2.200 öffentlichen Einrichtungen auch Tausende Privatunternehmen mit Ransomware infiziert. Die hohe Dunkelziffer macht eine genaue Schätzung unmöglich. Betroffen waren auch Konzerne wie Boeing sowie die Casinobetreiber MGM Resorts und Caesars Entertainment. Laut Schätzungen von Statista könnten sich die durch Cyberkriminalität verursachten Schäden bis 2028 mehr als verfünffachen.

Das Ausmaß der Schäden hat bereits die amerikanische Börsenaufsicht Securities and Exchange Commission (SEC) auf den Plan gerufen. Seit Dezember 2023 gelten für börsennotierte Unternehmen neue Offenlegungsvorschriften bei der Cybersicherheit: Sie müssen Vorfälle innerhalb von vier Werktagen melden.

Hinzu kommen neue Berichtspflichten fürs Risikomanagement und die Cybersecurity-Strategien. In ihren Jahresberichten müssen Unternehmen in Zukunft darlegen, wie sie Cyberrisiken identifizieren, bewerten und managen – einschließlich möglicher Auswirkungen von Bedrohungen auf den Geschäftsbetrieb. Auch die Rolle des Managements und die Aufsicht durch das Board of Directors müssen beschrieben werden.

Unternehmen sollen Cybersecurity zur Chefsache machen

Zunächst klingen die neuen SEC-Regeln bürokratisch, in der Praxis dürfte es jedoch spürbare Auswirkungen auf die Nachfrage nach Cybersicherheitslösungen geben. Denn bei Verstößen oder unrichtigen Angaben drohen empfindliche Strafen. Dies setzt die Unternehmen unter Druck, sich technische Expertise anzueignen, um Bedrohungen schnell zu bewerten und abzuwehren.

Im November 2023 schockte die SEC die Börsenwelt mit einer Klage gegen Solarwinds. Der Softwarefirma wurde vorgeworfen, ihren Aktionären Sicherheitsrisiken in den eigenen Systemen verschwiegen zu haben. Hacker hatten durch einen Angriff Zugang zu den Kundendaten von Solarwinds erhalten.

Mit ihrem Durchgreifen macht die SEC nach Einschätzung von Branchenkennern deutlich, dass Cybersecurity künftig auf die Tagesordnung der höchsten Führungsebene gehört. Der Trend zu strengen Vorschriften dürfte damit aber erst am Anfang stehen.