Nick Andersen sagte bei einer Veranstaltung des Cybersicherheitsunternehmens Axonius in Washington, CISA müsse ihre bisherige Praxis grundlegend überarbeiten. Bislang habe der historische Ansatz im Kern gelautet: Sobald ein Patch erscheint, soll er so schnell wie möglich eingespielt werden. Davon wolle sich die Behörde nun lösen.
Stattdessen soll nach Andersens Worten das Risiko jeder einzelnen Schwachstelle stärker in den Mittelpunkt rücken. Entscheidend seien dabei Fragen wie: Ist ein betroffener Wert aus dem Internet erreichbar? Entspricht die Lücke einer bekannten bereits ausgenutzten Schwachstelle? Lässt sich ihre Ausnutzung automatisieren? Diese Faktoren sollen künftig stärker darüber entscheiden, welche Maßnahmen zuerst erfolgen.
Die neue verbindliche operative Richtlinie wird laut Andersen auch behandeln, ob Patch-Fenster verkürzt werden müssen und falls ja, in welchem Umfang. Darüber hinaus soll sie Bundesbehörden anweisen, ihre Protokolle für das Schwachstellenmanagement insgesamt zu ändern.
CISA wolle dieses Denken nicht auf Bundesbehörden beschränken. Nach Andersens Angaben plant die Behörde auch, mit Betreibern kritischer Infrastrukturen genauer zu klären, wie diese ihre Reaktionen auf Cyberbedrohungen priorisieren. Er sagte, man müsse akzeptieren, dass manche Systeme und auch manche Elemente kritischer Infrastruktur weniger wichtig seien als andere.
Andersen begründete diesen Kurs mit den möglichen Folgen falscher Prioritäten. Ohne solche Abwägungen müsse eine überdehnte Behörde der Öffentlichkeit womöglich erklären, warum Telekommunikationsinfrastruktur über längere Zeit nicht verfügbar sei, warum es keinen Zugang zu sauberem Trinkwasser gebe oder warum grundlegende Dinge des täglichen Lebens ausfielen.
Zwar verfügt CISA nach seinen Worten bereits über mehrere Mechanismen, um Schwachstellen zu priorisieren. Andersen deutete jedoch an, dass diese Verfahren bislang nicht erfolgreich genug seien. Als Beispiel nannte er das bestehende Section-9-Protokoll, mit dem Einrichtungen benannt werden, bei denen ein Cybersicherheitsvorfall katastrophale Auswirkungen haben könnte.
Dieses Instrument sei nicht wirksam genug gewesen, sagte Andersen. In der Vergangenheit habe CISA Betreiber nach einer Section-9-Einstufung gewissermaßen beglückwünscht, ohne anschließend detailliert nachzufragen. Künftig müsse die Behörde konkreter werden und mit Unternehmen besprechen, welche spezifische Funktion sie besonders kritisch macht, welche konkreten Werte diese Funktion tragen und wie sich für diese Werte ein messbares Maß an Resilienz erreichen lässt.
Historisch seien viele Gespräche zu breit aufgestellt gewesen, sagte Andersen. Nun müsse man deutlich feiner arbeiten. Als Beispiel nannte er den Finanzsektor: CISA müsse eher sicherstellen, dass das Massenzahlungssystem einer Bank robust ist, als sich vorrangig darum zu kümmern, ob eine einzelne Filiale nach einem Cyberangriff weiterarbeiten kann.
Andersen äußerte sich auch zur personellen Lage der Behörde. CISA sei zuletzt durch einen Government Shutdown und umfangreiche Entlassungen eingeschränkt worden. Die Behörde gehe den Personalmangel nun an und wolle mehr als 300 neue Beschäftigte einstellen. 180 davon sollen laut Andersen bis Ende dieses Monats an Bord sein.
Die erste Einstellungswelle soll vor allem den Bereich Infrastruktursicherheit, die Notfallkommunikation und die regionalen Teams mit staatlichen Cybersicherheitskoordinatoren stärken. Einige der neuen Mitarbeiter haben nach Andersens Angaben bereits ihre Arbeit aufgenommen.