Die neue Richtlinie verpflichtet Bundesbehörden nicht nur zu schnelleren Updates, sondern auch zu einer genaueren Bewertung des Einzelfalls. Wenn Behörden zu dem Schluss kommen, dass Angreifer über eine Schwachstelle die vollständige Kontrolle über ein System übernehmen können, müssen sie die betroffenen Systeme vor dem Patchen untersuchen, um festzustellen, ob bereits eine Kompromittierung vorliegt. Die Richtlinie schreibt zudem vor, zu prüfen, wann und auf welchem Weg ein verwundbares System kompromittiert wurde.
In einer CISA-Mitteilung heißt es: „Das Einspielen eines Patches allein entfernt einen Angreifer in der Regel nicht aus einem System.“ Damit verknüpft die Behörde das Schwachstellenmanagement ausdrücklich mit forensischer Triage. Chris Butera sagte im Gespräch mit Reportern, CISA könne Behörden bei dieser Analyse unterstützen. Zugleich räumte er ein, dass dieser Schritt für einige Bundesbehörden neu sein werde.
Für Schwachstellen, die die genannten Kriterien erfüllen, sich aber nicht automatisiert ausnutzen lassen und bei denen ein Bedrohungsakteur nicht die vollständige Kontrolle über ein System erlangt hat, gilt eine längere Frist: Behörden haben dann bis zu zwei Wochen Zeit für das Patchen. Für die Einführung der neuen Fristen gibt CISA den Behörden laut Richtlinie insgesamt 180 Tage.
Butera sagte, die beschleunigten Fristen seien vor allem vor dem Hintergrund aktueller Entwicklungen bei Künstlicher Intelligenz wichtig. Diese ermöglichten es Angreifern, Schwachstellen in besonders gefährdeten Systemen schneller zu finden und auszunutzen. „Verteidiger können es sich nicht leisten, wochenlang mit dem Patchen von Systemen zu warten, die sich autonom und massenhaft ausnutzen lassen“, sagte er.
Wie praktikabel die neue Vorgabe im Alltag ist, bleibt offen. Laut dem Bericht ist unklar, wie leicht es für personell und fachlich angespannte Bundesbehörden sein wird, Bedrohungen so zu priorisieren, dass sie zuverlässig den vier Kriterien zugeordnet werden können. Ebenso offen ist, ob das Patchen innerhalb von drei Tagen durchgängig realistisch ist, da dies schneller ist als bislang gefordert.
CISA verweist allerdings auf eigene Auswertungen, wonach nur ein kleiner Teil der Schwachstellen unter die besonders kurze Frist fällt. Bei einer von CISA untersuchten Bundesbehörde mussten nur 1 Prozent der Schwachstellen innerhalb von drei Tagen behoben werden; mehr als 60 Prozent galten als weniger kritisch und mussten erst beim nächsten System-Update geschlossen werden.
Acting CISA Director Nick Andersen erklärte, die Richtlinie solle zivilen Bundesbehörden ermöglichen, ihre Ressourcen auf die Bereiche mit dem höchsten Risiko zu konzentrieren und weniger dringliche Schwachstellen zurückzustellen. Die Vorgaben schafften klare Definitionen, Fristen und Kriterien und verbesserten damit Transparenz, Planbarkeit und die Ressourcendisposition der Behörden.
CISA drängt auch Regierungen auf Ebene der Bundesstaaten, der Stämme und der Kommunen sowie Betreiber und Eigentümer kritischer Infrastrukturen, ähnliche Verfahren für das Management von Schwachstellen einzuführen. Ebenfalls am Mittwoch brachte Senator Mark Warner ein Gesetzesvorhaben ein, das CISA anweist, gemeinsam mit Industrie und Regulierungsbehörden an einer Modernisierung der Cyberabwehr zu arbeiten. Warner erklärte dazu, die Verteidigung müsse mit den aktuellen Bedrohungen Schritt halten, während sich Künstliche Intelligenz rasch weiterentwickele.