Colin Ahern, Sicherheits- und Geheimdienstdirektor des Bundesstaats New York, bezeichnete die Anhörung als „dringend" und appellierte an die Bundesregierung, „ein Partner für alle 50 Bundesstaaten" zu sein. Neben einer Wiederherstellung der CISA-Finanzierung forderten die Verantwortlichen den Kongress auf, das State and Local Cybersecurity Grant Program (SLCGP) neu zu autorisieren und auszubauen.
Kristin Darby, IT-Chefin des Bundesstaats Tennessee, nannte das Förderprogramm „eines der wirksamsten verfügbaren Instrumente, um unsere gemeinsame Verteidigung zu stärken". Sie verwies zugleich darauf, dass das rasante Wachstum der künstlichen Intelligenz Umfang und Tempo von Angriffen beschleunigt habe, dass Angreifer zunehmend auf Lieferketten-Kompromittierungen setzten und dass die Ausnutzung von Identitätssystemen, Cloud-Umgebungen und Zero-Days einen Höchststand erreicht habe. „Das Vorgehen der Bundesregierung im vergangenen Jahr hat zu einem Vertrauensbruch mit den Verantwortlichen in Bundesstaaten und Kommunen geführt, insbesondere bei der Cybersicherheit von Wahlen", sagte Darby in ihrer Aussage.
Eine zentrale Streitfrage ist die Umstellung des MS-ISAC. Das Zentrum ist keine Bundeseinrichtung, wurde aber von der CISA finanziert; inzwischen ist die Mitgliedschaft kostenpflichtig. John Petrozzelli, Direktor des MassCyberCenter, betont, dass viele bundesfinanzierte Dienste weiterhin verfügbar seien – etwa das Schwachstellen- und Webanwendungs-Scanning der CISA, für das sich Kommunen kostenlos anmelden könnten.
Petrozzelli beschreibt einen Dominoeffekt: Kommunen und kleine Unternehmen stoßen wegen knapper kommunaler, bundesstaatlicher und föderaler Budgets ständig an Ressourcengrenzen und müssen Prioritäten setzen. Er beobachtet zunehmende Risiken im Bereich der Identitäten, vom Diebstahl von Zugangsdaten bis zum Eindringen in Nutzerkonten – verstärkt durch KI. „Und dann gibt es die KI-Werkzeuge auf dem Markt sowie Werkzeuge, die von staatlichen Akteuren wie China oder Russland gegen kritische Infrastruktur missbraucht werden", sagt er.
Wo Bundesmittel zurückgehen, werden die Bundesstaaten zum Handeln gezwungen. Das MassCyberCenter ist eine Initiative auf Ebene des Bundesstaats, die sich auf die Entwicklung von Fachkräften für öffentliche und private Einrichtungen sowie auf die Stärkung des öffentlichen Sicherheitsbewusstseins konzentriert. Zusammenarbeit und Schulungsprogramme stehen im Mittelpunkt. Eine Quelle, auf die Petrozzelli verweist, ist das Massachusetts Executive Office of Technology Services and Security (EOTSS), das KnowBe4-Schulungen bereitstellt – also kostenlose Sensibilisierungstrainings und Phishing-Tests für Kommunen und Schulsysteme. Gemeinsam mit dem Office of Consumer Affairs and Business Regulation veröffentlichte das Center zudem einen Bericht zu Datenschutzverletzungen, der zeigte, wie entscheidend das Schließen von Schwachstellen auf mit dem Internet verbundenen Geräten ist.
Darüber hinaus bietet das Center Förderungen, Mentorenprogramme und ein staatlich finanziertes Security Operations Center (SOC) mit rund um die Uhr verwalteter Endpunkterkennung und -reaktion, Schwachstellenbewertung, Active Directory sowie Software- und Bestandsinventarisierung. „Wer sich für unser SOC anmeldet, erhält die MS-ISAC-Mitgliedschaft und ein weiteres Programm dazu", so Petrozzelli. „Jemand mit begrenzten Mitteln muss nicht abwägen: Stecke ich das Geld in diese Mitgliedschaft oder in dieses SOC?"
