CISA verschärft Patch-Fristen für US-Bundesbehörden auf teils nur drei Tage

Zusammenfassung

Die US-Behörde CISA hat mit der Binding Operational Directive 26-04 eine neue verbindliche Vorgabe für Federal Civilian Executive Branch (FCEB)-Behörden veröffentlicht. Ziel ist es, das Risiko von Cyberangriffen auf den öffentlichen Sektor zu senken, indem hochriskante Schwachstellen deutlich schneller behoben werden müssen. Je nach Einstufung kann die Frist dafür auf nur drei Tage sinken. Nach Angaben von CISA ersetzt und widerruft die neue Richtlinie die älteren Vorgaben BOD 19-02 und BOD 22-01, die 2019 beziehungsweise 2021 eingeführt worden waren. Die Behörde erklärt, dass die Priorisierung von Patches auf vier zentralen Überlegungen basiert. Abhängig von diesen Faktoren gelten unterschiedliche Fristen für die Behebung von Sicherheitslücken. In weniger dringenden Fällen, etwa wenn eine automatisierte Ausnutzung nicht möglich ist oder nur teilweise Kontrolle ermöglicht, beträgt die Frist zwei Wochen. Die Richtlinie gilt speziell für FCEB-Behörden und die von ihnen betriebenen Informationssysteme.

Mit BOD 26-04 zieht CISA die Anforderungen an das Schwachstellenmanagement in US-Bundesbehörden spürbar an. Die neue verbindliche Richtlinie soll Sicherheitsupdates für besonders riskante Lücken priorisieren und schreibt dafür beschleunigte Fristen vor. In einzelnen Fällen müssen betroffene Behörden Schwachstellen innerhalb von nur drei Tagen beheben.

CISA zufolge ersetzt die neue Anordnung die bisherigen Direktiven BOD 19-02 und BOD 22-01. Die Behörde begründet den neuen Ansatz damit, dass sich das Risiko von Cyberangriffen gegen den öffentlichen Sektor durch schnellere Reaktionszeiten verringern lasse. Die Priorisierung von Patches stützt sich laut CISA auf vier Schlüsselfaktoren, aus denen sich die jeweilige Frist für die Behebung ableitet.

Für weniger dringende Fälle setzt die Behörde eine Frist von zwei Wochen an. Das gilt laut CISA etwa dann, wenn keine automatisierte Ausnutzung möglich ist oder wenn eine Ausnutzung nur eine teilweise Kontrolle ermöglicht. Die kürzeste vorgesehene Frist bleibt drei Tage.

Der Geltungsbereich der Richtlinie ist klar auf die U.S. Federal Civilian Executive Branch und deren Informationssysteme zugeschnitten. Dazu zählen Behörden und Ministerien der US-Bundesverwaltung. Nicht erfasst sind bestimmte militärische Systeme des U.S. Department of War, Systeme der Intelligence Community, private Unternehmen und Auftragnehmer.

Die Vorgabe umfasst dabei nicht nur lokal betriebene Bundessysteme. Nach Angaben von CISA gilt sie ebenso für von Dritten gehostete Systeme sowie für Cloud-Umgebungen mit und ohne FedRAMP-Bezug. Damit deckt die Richtlinie On-Premise-, Hosting- und Cloud-Szenarien gleichermaßen ab.

Behörden, die an BOD 26-04 gebunden sind, sollen nun ihre Richtlinien zum Schwachstellenmanagement anpassen, ihre Bestandsverzeichnisse für Assets aktualisieren und die Berichterstattung zum KEV-Status automatisieren. Innerhalb von 60 Tagen müssen die Prozesse so umgestellt werden, dass CVE- und KEV-Daten die Grundlage für Entscheidungen zur Behebung bilden.

Spätestens nach 180 Tagen müssen alle betroffenen Behörden die neuen Fristen verbindlich einhalten. Zusätzlich verlangt CISA dann eine fortlaufende Überwachung und die Meldung detaillierter Metadaten zu den erfassten Assets.

Wie schon frühere CISA-Direktiven dürfte auch BOD 26-04 laut Behörde über den unmittelbaren Behördenkreis hinaus wirken. CISA erwartet, dass der Rahmen auch der breiteren Cybersicherheitsbranche ein Signal für die Priorisierung von Patches gibt.

CISA verschärft Patch-Fristen für US-Bundesbehörden auf teils nur drei Tage

Ähnliche Artikel

Neueste Artikel