Das Weiße Haus hat am Freitag ein bemerkenswertes, offensiv ausgerichtetes Konzept zur Stärkung der amerikanischen Cyber-Macht vorgestellt. Das siebenseitige Dokument rahmt Cybersicherheit nicht nur als IT-Herausforderung ein, sondern als strategisches Einsatzfeld, auf dem die USA ihre Dominanz gegenüber geopolitischen Rivalen behaupten müssen. Dabei machte die Regierung deutlich: Die amerikanische Antwort auf Cyber-Bedrohungen wird sich nicht auf die digitale Sphäre beschränken.
Parallel zur Strategie erließ Trump eine Executive Order, die auf die Störung krimineller Netzwerke abzielt. Diese soll ein neues operatives Zentrum im National Coordination Center schaffen, das föderale Bemühungen zur “Erkennung, Unterbrechung und Zerschlagung” ausländischer Cyber-Gegner koordiniert.
Bruce Jenkins, CISO bei Black Duck, charakterisiert die Strategie als bewusst vage und konzeptionell. “Dies ist eine Positionserklärung zu Prioritäten, kein Implementierungs-Handbuch”, erklärt Jenkins. Das stelle einen signifikanten Unterschied zu bisherigen, präskriptiveren Strategien dar.
Die Trump-Administration verwies auf mehrere jüngste Operationen als Belege ihrer Cyber-Fähigkeiten: die Beschlagnahme von 15 Milliarden Dollar in Bitcoin von einem kambodschanischen Konglomerat, das Betrugsschemata betrieb; Operationen gegen Irans Nuklearinfrastruktur und militärische Cyber-Einsätze gegen Venezuela. “Gegner sollten wissen, dass Amerikas Cyber-Operatoren und deren Werkzeuge die besten der Welt sind”, heißt es im Dokument.
Die Strategie fußt auf sechs Säulen. Die erste konzentriert sich auf die frühe Erkennung und Unterbrechung von Angriffen, bevor sie in amerikanische Netzwerke eindringen. Sie bietet Anreize für den privaten Sektor, Gegner-Netzwerke zu identifizieren und zu stören.
Die zweite Säule widmet sich der Deregulierung: Unternehmen sollen nicht durch übermäßige Compliance-Anforderungen belastet werden. Die Strategie verspricht, Regeln zu vereinfachen und Haftungslasten zu reduzieren, damit Firmen agiler auf Bedrohungen reagieren können.
Die dritte Säule betrifft die Modernisierung bundesstaatlicher Netzwerke. Sie fordert Zero-Trust-Architekturen, Post-Quanten-Kryptografie und cloudbasierte Systeme in allen Behörden. Auch KI-gestützte Cybersecurity-Tools und vereinfachte Beschaffungsprozesse sollen schnelleren Zugang zu neuer Technologie ermöglichen.
Die vierte Säule konzentriert sich auf kritische Infrastruktur – Energienetze, Krankenhäuser, Finanzsysteme, Wasserwerke und Telekommunikation. Betreiber sollen ihre Abhängigkeit von “gegnerischen Anbietern und Produkten” eliminieren und amerikanische Technologien einsetzen.
Die fünfte Säule sichert amerikanische Führerschaft bei KI und kritischen Technologien. Die sechste widmet sich der Entwicklung des Cybersecurity-Fachkräfte-Marktes als “strategisches Gut”.
Ido Geffen, CEO von Novee, sieht den größten Unterschied in der Explizitheit der Präemption. “Frühere Ansätze konzentrierten sich auf Resilienz und langfristige Verteidigungsrahmen”, beobachtet Geffen. “Dieser ist direkter beim Zuvorkommen von Gegnern.” Das sei richtig, denn in echten Offensivoperationen sei eine Organisation bereits gescheitert, wenn der Gegner ins Netzwerk eingedrungen ist.
Jenkins hebt die wesentlichen Unterschiede zur Biden-Strategie (39 Seiten) hervor: “Diese Strategie priorisiert Haltung über Prozess, lehnt Compliance-fokussierte Cybersecurity ab und rahmt KI nicht nur als Werkzeug, sondern als strategisches Gut ein. Sie enthält auch deutlich aggressivere Abschreckungssprache mit wiederholten Verweisen auf Störung, Zerschlagung und Konsequenzen für Gegner – und erklärt explizit, dass Reaktionen nicht auf den Cyberraum begrenzt sind.”
Dave Gerry, CEO von Bugcrowd, kritisiert die fehlende Präzision: “Das liest sich wie ein hochrangiges Messaging-Dokument mit guter nationaler Ausrichtung, dem aber die Spezifität für konkrete Entscheidungen fehlt.” Details würden wahrscheinlich durch weitere Executive Orders und Gesetze folgen, doch noch seien Zeitpläne, zuständige Behörden, Budgets und Umsetzungspläne unklar.