Der Kongress hat einem Gesetzesentwurf zugestimmt, gemäss dem Unternehmen, die für die nationalen Interessen der USA von grosser Bedeutung sind, Meldung erstatten müssen, sofern sie gehackt wurden oder nach einer Ransomware-Attacke Lösegeld bezahlten. Diese Bemühungen zielen darauf ab, der Regierung einen besseren Überblick über die von Cyberangriffen betroffenen Unternehmen und deren Häufigkeit zu geben. Ziel des Gesetzes ist auch die Verbesserung der Cybersecurity und Resilienz von Unternehmen mit kritischer Infrastruktur.

Der Strengthening American Cybersecurity Act of 2022 wurde im Frühling dieses Jahres sowohl vom Repräsentantenhaus als auch vom Senat gutgeheissen. In der Folge hat der amerikanische Präsident, Joe Biden, das Gesetz unterzeichnet und damit in Kraft gesetzt. Das neue Gesetz zur Cybersecurity besteht aus drei Regulierungen:

  • dem Federal Information Security Modernization Act of 2022,
  • dem Cyber Incident Reporting for Critical Infrastructure Act of 2022 sowie
  • dem Federal Secure Cloud Improvement and Jobs Act of 2022.

Gemäss diesem Gesetz müssen Unternehmen, die kritische Infrastruktur bereitstellen, einen Cyberangriff innerhalb von 72 Stunden bei der „Cybersecurity and Infrastructure Security Agency (CISA)“ melden. Ebenfalls meldepflichtig sind jegliche Ransomware-Zahlungen, die innerhalb von 24 Stunden überwiesen wurden. Abgesehen von Informationen über den Vorfall wie Beschreibung des Zugriffs und Auswirkung auf den Betrieb und welche Kategorien von Informationen die Hacker erbeuten konnten, müssen die betroffenen Unternehmen auch angeben, welche Massnahmen das Unternehmen zur Vermeidung von Cyberangriffen getroffen hatte und welche Schwachstellen von den Angreifern ausgenutzt wurden.

Von diesen Meldepflichten sind jedoch nicht sämtliche Unternehmen, sondern nur die sog. „operators of critical national infrastructure“, also Betreiber kritischer Infrastruktur von nationalem Interesse, betroffen. Gemäss der Presidential Policy Directive/PPD-21 werden beispielsweise die folgenden Sektoren der kritischen Infrastruktur zugeordnet:

  • Kommunikation,
  • Energie,
  • Finanzdienstleistungen,
  • Lebensmittel und Landwirtschaft,
  • Gesundheitswesen, etc.

Sollten Unternehmen der soeben genannten Sektoren ihrer neuen Meldepflicht nicht nachkommen, können sie von CISA unter der Androhung vorgeladen werden, dass das Justizministerium (US Departement of Justice) eingeschaltet wird.

Es sind laut dem neuen Gesetz jedoch nicht sämtliche Cyberangriffe von der Meldepflicht betroffen. CISA muss Kenntnis über Cyberattacken von erheblichem Ausmass erhalten, z.B. sofern es zu einem Unterbruch der Geschäftstätigkeit des Betriebs kommt oder wenn der Cyberangriff schwerwiegende Auswirkungen auf die Sicherheit und die Widerstandsfähigkeit der betrieblichen Systeme und Prozesse hat.

Vorteil der Meldepflicht ist, dass sich CISA bei einem Vorfall einschalten und das betroffene Unternehmen nötigenfalls unterstützten kann. Durch die verbesserte Kenntnis von Cyberattacken auf Unternehmen der kritischen Infrastruktur können auch umfangreichere und daher bessere Analysen der Angriffe vorgenommen werden. Ausserdem können Trends erkannt werden. Des Weiteren können die neuen Erkenntnisse schnell an die potentiell gefährdeten Unternehmen weitergegeben werden, die sich dadurch auf einen möglichen Angriff vorbereiten können. Die Verbesserung der Cybersecurity und Resilienz von Unternehmen von nationalem Interesse ist laut Senator Gary Peters, einem der Initianten des neuen Gesetzes, auch in Anbetracht des Krieges zwischen Russland und der Ukraine relevant, da aufgrund der Unterstützung der Ukraine durch die USA mit allfälligen Vergeltungsangriffen von russischen Hackern gerechnet werden müsse. Der Entwurf des Gesetzes wurde von ihm und Senator Rob Portman nach der Ransomware Attacke auf die amerikanische Colonial Pipeline im Frühjahr 2021 in die Wege geleitet. Nach diesem Angriff war die betroffene Pipeline, die die ganze amerikanische Ostküste mit Öl versorgt und daher als kritische Infrastruktur gilt, mehrere Tage abgeschaltet.

Auch die U.S. Securities and Exchange Commission (SEC), eine für die Finanzaufsicht zuständige Behörde, erklärte kurze Zeit vor Verabschiedung des Strengthening American Cybersecurity Act of 2022, die Offenlegung von Cyberangriffen auf börsenkotierte Unternehmen zu prüfen. Es kann daher festgehalten werden, dass das Bewusstsein um die von Cyberangriffen ausgehende Gefahr, insbesondere auf kritische Infrastrukturen eines Staates, gestiegen ist und vermehrt auch von Behörden und der Regierung aufgegriffen wird. Der Strengthening American Cybersecurity Act of 2022 bezieht sich zwar einzig auf Unternehmen, die kritische Infrastrukturen in nationalem Interessen erbringen, es ist aber vorstellbar, dass in Anbetracht der Gefahr von Cyberangriffen die Meldepflichten auf weitere Unternehmen übertragen werden.

Auch in der Schweiz wird der Gefahr von Cyberattacken vermehrt entgegengewirkt. So wurde z.B. das Nationale Zentrum für Cybersicherheit (NCSC) geschaffen. Das NCSC überwacht einerseits die Entwicklungen und warnt vor aktuellen Bedrohungen betreffend Cybersecurity informiert und berät andererseits auch Private, Unternehmen und Behörden. Es orientiert sich dabei an der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018-2022. Im Zentrum stehen dabei der Aufbau von Kapazitäten sowie Fähigkeiten und Wissen, aber auch die Etablierung von Prozessen und Strukturen. Wie im neu erlassenen amerikanischen Gesetz liegt auch in der Schweiz der Fokus auf kritischen Infrastrukturen bzw. deren Schutz vor Cyberangriffen. Schliesslich sollen – unter Mitarbeit der Wirtschaft – Mindeststandards betreffend Cybersecurity ausgearbeitet werden. Auch in der Schweiz wird geprüft, ob gesetzliche Meldepflichten für Cyberangriffe implementiert werden sollen. Zudem befasst sich der Gesetzgeber mit der Revision des seit 1. Mai 2022 gültigen Informationssicherheitsgesetzes (ISG, AS 2022 232) und hat einen Revisionsvorschlag in Vernehmlassung gegeben, indem eine Meldepflicht für Cyberangriffe vorgesehen sind. Unsere Meinung sowie Verbesserungsvorschläge zur Umsetzung dieser Meldepflicht haben wir anlässlich der Vernehmlassung in einer Eingabe festgehalten, die Sie hier einsehen können.

Quellen