An einem Freitagnachmittag Ende September gab Facebook bekannt, dass es Gegenstand einer schwerwiegende SicherheitsverletzungHacker hatten das soziale Netzwerk infiltriert und sich Zugriff auf rund 50 Millionen persönliche Konten verschafft – der schlimmste Angriff in der Geschichte des Unternehmens. Spätere Berichte spekulierten, der Täter könnte eine ausländische Macht gewesen sein, was weitere Bedenken hinsichtlich der Cybersicherheit in den USA auslöste.
In den letzten Jahren hat das Thema Cybersicherheit in der nationalen Diskussion große Aufmerksamkeit erregt. Angriffe wie die auf Facebook und andere haben bei den Amerikanern für Besorgnis über die Sicherheit ihrer persönlichen Daten gesorgt und darüber, ob sie ausreichend vor solchen potenziellen Bedrohungen geschützt sind. Jüngste Berichte haben gezeigt Die Zahl der Cyberangriffe hat deutlich zugenommen. Viele davon richten sich gegen große Banken und andere Institutionen mit hochsensiblen Informationen. Der Unterschied zu vor zehn Jahren, als Cyberangriffe deutlich seltener waren, ist eklatant.
Die Absicht des Hackers
Die Frage nach den Motiven von Hackern ist kompliziert. Zwar wird allgemein angenommen, dass Cyberkriminalität durch den Wunsch nach finanziellem Gewinn angetrieben wird, doch gibt es viele Fälle, in denen die Motive auch sozial, ideologisch oder politisch begründet sind. Eine Art von Internetaktivismus, Hacktivismus, basiert auf all diesen Prinzipien. Hacker begehen Cyberkriminalität, um sozialen Wandel zu fördern, sei es Meinungsfreiheit, Informationsfreiheit oder Menschenrechte. Ein Beispiel dafür ist Anonymous, eine Gruppe, die vertrauliche Informationen aus Hackerangriffen veröffentlicht, um Transparenz zu gewährleisten. Vor diesem Hintergrund könnte man argumentieren, dass Cyberkriminalität nicht zwangsläufig schädlich ist. Wie Präzedenzfälle zeigen, kann Hacking sozialen Wandel bewirken. Zu Beginn des Arabischen Frühlings veröffentlichte Anonymous funktionierte Um die Aufmerksamkeit der Medien auf die Proteste in Tunesien zu lenken, den Zugang zu von der Regierung zensierten Websites wiederherzustellen und Code zu schreiben, der es Aktivisten ermöglicht, der staatlichen Überwachung zu entgehen.
Experten zufolge sind Hacker durch neue Technologien, die es ihnen ermöglichen, relativ einfach in Systeme einzudringen, mutiger geworden. Diese Entwicklungen sind zwar technologisch beeindruckend und spannend, stellen aber auch eine erhebliche Bedrohung für viele Sektoren der US-Wirtschaft dar – Energie, Gesundheitswesen und Transport, um nur einige zu nennen. Darüber hinaus ist finanzieller Gewinn durch den Einsatz von Tools wie verteilte Denial-of-Service-Attacke Angriffe, die Netzwerke mit unkontrolliertem Datenverkehr überfluten und den Betrieb des Systems beeinträchtigen. Im Gegenzug für die Beendigung des Angriffs wird ein Lösegeld gefordert. In einer Zeit, in der digitale Netzwerke für den normalen Betrieb von entscheidender Bedeutung sind, sind Unternehmen oft mehr als bereit, aushändigen das Lösegeld, wenn es bedeutet, ihre Systeme zurückzubekommen.
Der Stand der Cybersicherheit
Leider sind die Vereinigten Staaten ein Epizentrum für diese Art von Aktivitäten. Wie Ross Rustici, der Direktor der Geheimdienste der Cybersicherheitsfirma Cybersaison, sagte kürzlich in einem Interview mit dem HPR: „Was die Verteidigung angeht, liegt Amerika wahrscheinlich im oberen Viertel, aber größtenteils ist das völlig unzureichend.“ Der ehemalige Cyber-Analyst des Verteidigungsministeriums fügte hinzu, dass die US-Regierung zwar „erhebliche Anstrengungen“ unternommen habe, um das Problem anzugehen, ihr aber „die Autorität fehle, Veränderungen durchzusetzen“, da es für Unternehmen keine gesetzlichen Verpflichtungen gebe, hohe Standards bei der Cybersicherheit einzuhalten.
Branchenexperten sind sich einig, dass es nie einen hundertprozentigen Schutz geben wird und Hacker immer einen Weg in Systeme finden werden. Mit dem Aufbau neuer Abwehrmechanismen entstehen auch neue Schwachstellen, die nur darauf warten, ausgenutzt zu werden. Brian Park, Mitbegründer von Sparklabs Cyber+Blockchain, ein in Washington D.C. ansässiger Cyber-Startup-Accelerator, verglich dieses Phänomen in einem Interview mit dem HPR mit einem Katz-und-Maus-Spiel. Während Entwickler neue Cyber-Abwehrtechnologien erfinden, sind Angreifer ihnen einen Schritt voraus und entwickeln bereits Wege, diese neuen Hindernisse zu umgehen. Wie Park jedoch betont, basieren nicht alle Abwehrmaßnahmen vollständig auf Cyberangriffen. Hacker nutzen auch die schwächste Stelle jedes Sicherheitssystems aus: den Menschen. Viele Unternehmen setzen Menschen als erste Verteidigungslinie ein, sei es ein telefonischer Kundenbetreuer einer Bank oder ein Sicherheitsbeamter eines Datenspeicherstandorts. In vielen Fällen können Einzelpersonen leicht dazu verleitet werden, Zugriff zu gewähren, wie das Beispiel des beliebten IRS-Betrug, bei dem Menschen dazu gebracht werden, ihre Sozialversicherungsnummer herauszugeben, um Geldstrafen zu vermeiden.
Angriff ist die neue Verteidigung
Angesichts dieser Bedrohungen argumentieren viele, dass Unternehmen und Regierungen diese Hacker verfolgen und angreifen müssen, bevor sie uns angreifen. In einem September 2018 Kommentar für das Ripon ForumSenator Mike Rounds (RS.D.), Vorsitzender des Unterausschusses für Cybersicherheit der Streitkräfte, plädierte für einen offensiveren Ansatz: „Wir haben in Sachen Cybersicherheit lange genug defensiv gespielt. Es ist Zeit, in die Offensive zu gehen.“ Obwohl die Regierung diese Strategie umsetzen kann, ist sie für Unternehmen laut der Computer Fraud and Abuse Act von 1986Das Gesetz, das während der Reagan-Regierung verabschiedet wurde, war in Antwort zum Film WarGames, in dem ein Highschool-Schüler sich in einen militärischen Supercomputer hackt und beinahe einen Atomkrieg mit der Sowjetunion auslöst. Der Film, obwohl fiktiv, überzeugte Präsident Reagan und die US-Regierung davon, dass Unternehmen in Sachen Hacking nicht vertrauenswürdig seien, insbesondere wenn dies zu einem Konflikt mit einem fremden Staat führen könnte.
Präsident Trump scheint Rounds zuzustimmen. Im vergangenen August erließ er eine Anweisung: das Nationale Sicherheitsmemorandum des Präsidenten 13 – was dem US-Verteidigungsministerium mehr Freiheiten bei Cyber-Operationen gegen Gegner der USA einräumt. Diese Politik, die sich deutlich von der der Obama-Regierung unterscheidet, wurde für ihre Rücksichtslosigkeit kritisiert, da sie zu einer Eskalation von Cyber-Konflikten und diplomatischen Spannungen im Ausland führen könnte.
Die öffentliche und private Reaktion
Als Reaktion auf die zunehmende Bedrohung durch Cyberangriffe widmen sowohl der private als auch der öffentliche Sektor diesem Thema mehr Aufmerksamkeit und Ressourcen. Insbesondere die Cybersicherheitsbranche hat schnelle Expansion mit prognostizierten jährlichen Wachstumsraten von 10 bis 12 Prozent bis 2021. Ein Bericht von Business Insider Schätzungen dass bis 2020 über $655 Milliarden für Sicherheitsdienste ausgegeben werden. Darüber hinaus von Morgan Stanley durchgeführte Studie zeigt, dass die weltweiten durchschnittlichen Kosten der Cyberkriminalität zwischen 2013 und 2017 um 62 Prozent gestiegen sind. Trotz der erhöhten Investitionen in Sicherheitstechnologie und -dienste anhaltender Anstieg Die zunehmende Zahl an Cyberkriminalitätsfällen zeigt, dass effizientere und effektivere Lösungen erforderlich sind. Im Einklang mit dem privaten Sektor hat die Regierung begonnen, mehr Ressourcen für die Eindämmung von Cyberbedrohungen bereitzustellen. Die Trump-Administration Haushaltsvorschlag 2019 beantragt $14,983 Milliarden für die gesamte Cybersicherheitsfinanzierung, gegenüber $13,1 und $14,4 Milliarden in den Jahren 2017 und 2018. Viele fanden diese Budgeterhöhung jedoch verwirrend angesichts der Entscheidung zur Beseitigung die Rolle des Cyber-Koordinators im Nationalen Sicherheitsrat, dem obersten Cyber-Beauftragten der US-Regierung.
Der Kongress hat auch Maßnahmen ergriffen, um die Cyber-Fähigkeiten des Landes zu verbessern, wobei einige Gesetzgeber eine Gesetzgebung ähnlich der des Datenschutz-Grundverordnung der Europäischen Union, in Kraft getreten im Mai 2018. Die DSGVO soll die personenbezogenen Daten von Verbrauchern schützen, die von Unternehmen innerhalb der Europäischen Union verarbeitet oder gespeichert werden. Sie garantiert Verbrauchern das Recht auf Zugriff auf ihre Daten, das Recht auf Löschung ihrer Daten und das Recht, ihre Daten jederzeit zu widerrufen. Darüber hinaus verpflichtet sie Unternehmen, einen Datenschutzbeauftragten zu benennen, Benutzer innerhalb von 72 Stunden über Sicherheitsverletzungen zu informieren und eine Reihe weiterer Bedingungen einzuhalten. Verstößt ein Unternehmen gegen diese Standards, droht ihm eine Geldstrafe von bis zu 4 Prozent seines weltweiten Jahresumsatzes. Befürworter des Gesetzes argumentieren, dass angesichts der jüngsten Cyberangriffe die Umsetzung von Gesetzen wie der DSGVO in den Vereinigten Staaten notwendig sei, da sie Verbrauchern besseren Zugang und bessere Möglichkeiten zum Schutz ihrer Daten biete – ein wichtiger Aspekt der Cybersicherheit. In einer E-Mail an den HPR erklärte Dimitri Sirota, CEO von BigID, ein Cybersicherheitsunternehmen mit Sitz in New York City, bezeichnete die DSGVO als ein „gewinnbringendes Thema für alle politischen Parteien“ und sagte, dass „alle Aspekte der Verordnung den USA zugutekommen würden“. Allerdings sind nicht alle dieser Meinung. Einige Gegner argumentieren, dass die Kosten dieser Anforderungen eine unnötige Belastung für die Unternehmen darstellen.
Während die Zukunft von Gesetzen wie der DSGVO in den USA ungewiss ist, hat der Kongress bereits konkrete Maßnahmen ergriffen, um Cyberbedrohungen zu begegnen. Am 3. Oktober verabschiedete der Kongress die Gesetz über die Agentur für Cybersicherheit und Infrastruktursicherheit, mit dem eine eigenständige Cybersicherheitsbehörde unter dem Heimatschutzministerium eingerichtet wird. Die Richtlinie ist insofern bedeutsam, als sie das DHS im Wesentlichen zur Hauptbehörde für die Bekämpfung von Cyberbedrohungen macht. Darüber hinaus zentralisiert sie einen Großteil der Cyberressourcen der Regierung unter einer einzigen Stelle – eine dringend notwendige Verbesserung. Vor diesem Gesetz waren in den Vereinigten Staaten große Cyberprogramme mehreren Ministerien unterstellt, was zu Missverständnissen, Kompetenzverwirrung und allgemeiner Ineffizienz führte. Obwohl dies ein Schritt in die richtige Richtung ist, gibt es auch Bedenken hinsichtlich des Erfolgs der Behörde. Viele Experten der Cyberbranche glauben, dass noch immer erhebliche zusätzliche Mittel und Personal erforderlich sind, um der Bedrohung durch Cyberangriffe angemessen zu begegnen, insbesondere wenn diese Behörde die wichtigste Cyberabwehrlinie des Landes darstellen soll.
Zusätzliche Pläne und Vorschläge
Es ist klar, dass die US-Regierung künftig deutlich mehr tun muss, um das Land vor neuen Formen von Cyberangriffen zu schützen. In den letzten Jahren hat der Kongress viele Verbesserungen vorgenommen und endlich begonnen, mehr Ressourcen für die Bekämpfung dieser Bedrohung bereitzustellen. Allerdings sind mehr Mittel und Forschung erforderlich. Eine Option für die Zukunft ist eine verstärkte Zusammenarbeit zwischen öffentlichem und privatem Sektor, da Cyberexperten und -analysten der Branche über das aktuellste Wissen zu aktuellen Bedrohungen verfügen und für den Gesetzgeber von großem Nutzen sein könnten. Eine andere Möglichkeit ist die Einrichtung eines Gremiums ähnlich dem von Präsident Obama. Kommission zur Verbesserung der nationalen CybersicherheitEin solches Projekt würde es der Regierung und ihren Behörden ermöglichen, den aktuellen Stand der Cybersicherheit in den USA zu überprüfen und die wichtigsten Schwachstellen unserer Cyberinfrastruktur zu identifizieren. Schließlich könnten sich auch öffentliche Aufklärungsprogramme zum Thema Cybersicherheit als nützlich erweisen.
Amerika und seine Unternehmen sind sich der Bedrohung durch Cyberangriffe nicht vollständig bewusst. Die Bevölkerung muss besser über die Gefahren informiert werden, die sie bedroht, wie sie sich schützen können und welche Ressourcen ihnen im Falle eines Cyberangriffs zur Verfügung stehen. „Wir müssen diese Bedrohung ernst nehmen und uns darauf vorbereiten“, sagte Senator Bill Nelson (Demokrat, Florida) kürzlich in einem Interview mit dem HPR. „Der nächste Cyberangriff kommt – die Frage ist nicht, ob, sondern wann.“