Wie die neuen US-Cybersicherheitsanforderungen die Cloud-Compliance-Landschaft im Privatsektor beeinflussen

by Rackspace Technology Staff

A hand with a pen writing a legal document with a gavel on the desk

Es gibt einen Grund, warum die Zunahme von Ransomware-Angriffen keine direkten Auswirkungen auf US-Bundesbehörden hat. Die Anforderungen der US-Bundesregierung an die Cybersicherheit gehören zu den strengsten der Welt.

Bis zu diesem Jahr mussten alle Organisationen, die mit staatlichen Behörden zusammenarbeiten, die umfangreichen Cybersicherheitsrichtlinien der Bundesregierung einhalten. Für viele privatrechtliche Organisationen gelten die gleichen strengen Standards, besonders für öffentliche Auftragnehmer.

Letztes Jahr erhielten Sicherheit und Compliance in der Cloud mit Unterzeichnung der Executive Order (EO) 14028 mit dem Titel "Verbesserung der nationalen Cybersicherheit" durch Präsident Joe Biden neue Dringlichkeit. Die Verordnung dient dazu, die Cybersicherheit der USA zu stärken und die kritische Infrastruktur und staatlichen Netze zu schützen, auf denen die Wirtschaft und der Wohlstand des Landes basieren.

Die Cybersicherheit hat eine kritische Phase erreicht, denn jede Schwachstelle in der Lieferkette kann die nationale Sicherheit beeinträchtigen. So wurden beispielsweise durch den Cyberangriff gegen SolarWinds mehrere Regierungsbehörden, darunter auch das Weiße Haus, infiltriert. Die EO 14028 zielt darauf ab, solche Schwachstellen zu beseitigen.

Eine gestärkte Cybersicherheit wird einzelnen Unternehmen, ihren Partnern und dem Land zugute kommen. Allerdings stehen Privatunternehmen ohne Kenntnisse auf diesem Gebiet vor großen Herausforderungen.

 

Was es braucht, um die US-Cybersicherheitsanforderungen zu erfüllen

In der EO 14028 steht: „Um unsere Nation vor böswilligen Cyberakteuren zu schützen, muss die Bundesregierung mit dem privaten Sektor zusammenarbeiten. ... Der Privatsektor muss sich an ständig verändernde Gefahren anpassen, sicherstellen, dass Produkte sicher konstruiert und betrieben werden, und mit der US-Regierung zusammenarbeiten, um die Sicherheit im virtuellen Raum zu erhöhen.“

Die EO 14028 setzt einen Rahmen für die Entwicklung und Verbesserung der aktuellen Sicherheitsprotokolle und Best Practices und fordert, dass Privatunternehmen innerhalb ihrer Lieferkette die Sicherheitsstandards einhalten. Diese Standards beinhalten tausende von Anforderungen von fast einem Dutzend Aufsichtsstellen, wie z.B. NIST, FedRAMP, HIPPA, DoD, FISMA und HITRUST CSF.

Zu den neuen Anforderungen, die Software-Anbieter im privaten Sektor erfüllen müssen, gehören eine größere Transparenz ihrer Produkte und strengere Kontrollen. Die EO 14028 fordert, dass der Privatsektor sich an ständig verändernde Gefahren anpasst, und sicherstellt, dass Produkte sicher konstruiert und betrieben werden, und mit der US-Regierung zusammenarbeitet, um die Sicherheit im virtuellen Raum zu erhöhen Einige der vielen Anforderungen der neuen Verordnung sind zum Beispiel:

  • Dienstanbieter müssen alle Informationen über Cybervorfälle und Bedrohungen melden, die sich auf staatliche Netze auswirken.
  • Software-Anbieter müssen innerhalb einer Frist ihre Cloud-Services schützen, eine Zero-Trust-Systemarchitektur einführen sowie Multi-Faktor-Authentifizierung und Verschlüsselung implementieren.
  • Unternehmen müssen grundlegende Sicherheitsstandards implementieren, wenn Sie Software für öffentliche Kunden entwickeln; dazu gehört auch transparentere Software und öffentlich verfügbare Sicherheitsdaten.

Die Erfüllung der Cybersicherheitsstandards der Bundesbehörden kann ein mehrstufiges, mehrjähriges Projekt sein, das Millionen von Dollar kostet. Zur Veranschaulichung der Komplexität: zur Erfüllung nur eines Kriteriums der FedRAMP-Anforderungen — passwortbasierte Authentifizierung — müssen Unternehmen folgende Richtlinien erfüllen:

  • Mindestkomplexität des Passworts, Zeichenzahl und Groß-/Kleinschreibung
  • Mindestanzahl geänderter Zeichen bei der Erstellung neuer Passwörter
  • Kryptographischer Schutz aller gespeicherten und übertragenen Passwörter
  • Beschränkung der Mindest- und Höchstdauer von Passwörtern
  • Einschränkungen für die Wiederverwendung von Passwörtern

 

Rackspace Technology® bereits konform in den USA

„Rackspace Technology bietet seit über 20 Jahren Cloud-Sicherhieit und Compliance für Behörden und Unternehmen, die mit der staatlichen Stellen zusammenarbeiten“, so Alysia Ford, Product Manager IV, Government Services – US. „Wir haben Behörden und Organisationen geholfen, die strengen Richtlinien der Bundesregierung zu erfüllen und reale Sicherheits-Herausforderungen zu lösen.“ Börsennotierte Unternehmen können jetzt unsere langjährige, staatlich bestätigte Kompetenz nutzen, um regelkonforme Cybersicherheit und Compliance-Programme zu entwickeln — dies spart jahrelange Arbeit und senkt die Kosten erheblich."

„Rackspace Technology ist einer der führenden staatlich bestätigten Anbieter von Cloud Security und Compliance in den USA“, so Jeffrey Tehovnik, Product Engineer, Government Solutions. „So haben wir beispielsweise seit über sechs Jahren das FedRAMP Moderate Level und die JAB-Autorisierung erreicht und aufrechterhalten, einschließlich 17 behördlicher Autorisierungen. Es gibt nur 255 andere Cloud-Lösungen, die nach FedRAMP autorisiert sind, und nur 197 sind auf FedRAMP Moderate Level autorisiert. Außerdem haben 20 Bundesbehörden in den USA unsere Plattform-Services für Cyber-Sicherheit überprüft und sie für den staatlichen Gebrauch autorisiert.“

Aktuell unterstützt Rackspace Technology mehr als 40 Kunden in der staatlichen Lieferkette und bietet hoch sichere und konforme Umgebungen.

Rackspace Government Solutions bietet privaten Unternehmen unter anderem folgende staatlich genehmigten Cloud Security und Compliance-Funktionen, um sie bei der Einhaltung der EO 14028 zu unterstützen:

  • Ist-Erfassung des Unternehmens und Entwicklung einer Strategie und Roadmap, um die neuen Richtlinien zu erfüllen.
  • Übertragung der eigenen, staatlich genehmigten „vererbbaren Kontrollen“ für die Einhaltung der Cybersicherheitsvorschriften auf das Unternehmen.
  • Ergänzung des Cybersicherheitsteam des Unternehmens durch ein flexibles Expertenteam, das fortlaufenden Support bieten kann.

Erfahren Sie mehr darüber, was Ihre Organisation tun muss, um die neuen Anforderungen der US-Regierung zu erfüllen.

Sprechen Sie noch heute mit einem Spezialisten für Government Security & Compliance