Die Strategie nennt mehrere jüngere Operationen als Beispiele für die Fähigkeiten, die die Regierung ausbauen will: die Beschlagnahme von Bitcoin im Wert von 15 Milliarden Dollar bei einem kambodschanischen Konglomerat, dem global angelegter Finanzbetrug nach dem Muster des sogenannten “pig butchering” zur Last gelegt wird; eine Operation gegen die nukleare Infrastruktur des Iran; sowie eine weitere im Rahmen des Militäreinsatzes zur Festnahme des venezolanischen Machthabers Nicolás Maduro. Gegner seien gewarnt, dass Amerikas Cyber-Operateure und -Werkzeuge die besten der Welt seien und rasch eingesetzt werden könnten, heißt es im Dokument.

Aufgebaut ist die Strategie um sechs Politikfelder. Das erste zielt darauf, Gegner zu erkennen und zu stören, bevor sie in US-Netze eindringen, und setzt Anreize für die Privatwirtschaft, gegnerische Netzwerke aufzuspüren. Bürger und Unternehmen sollten nicht erwarten müssen, hochentwickelten staatlichen Akteuren allein standzuhalten. Das zweite Feld betrifft den Abbau von Cybersicherheits-Regulierung, damit Organisationen nicht durch Compliance-Pflichten überlastet werden. Das dritte sieht eine Modernisierung der Bundesnetze vor — durch beschleunigte Einführung von Zero-Trust-Architekturen, Post-Quanten-Kryptografie, Cloud-Systemen und KI-gestützten Abwehrwerkzeugen.

Das vierte Feld widmet sich der Härtung kritischer Infrastrukturen, etwa Stromnetzen, Krankenhäusern, Finanzsystemen, Wasserversorgern und Telekommunikationsnetzen; Betreiber sollen ihre Abhängigkeit von “Anbietern und Produkten gegnerischer Staaten” beenden und auf in den USA entwickelte Technik setzen. Das fünfte Feld soll die amerikanische Führungsrolle bei KI und anderen Schlüsseltechnologien sichern, das sechste behandelt den Aufbau von Fachkräften, die als “strategisches Gut” verstanden werden.

Bruce Jenkins, CISO bei Black Duck, bezeichnet das Rahmenwerk als auffällig arm an Details und bewusst mehrdeutig: Es sei “eine Erklärung von Haltung und Prioritäten, kein Umsetzungsleitfaden” — eine deutliche Abkehr von den präskriptiveren Strategien früherer Regierungen. Verglichen mit der 39-seitigen National Cybersecurity Strategy der Biden-Regierung von 2023 sei das Papier wesentlich kürzer. Größte Unterschiede seien “Haltung statt Prozess”, die ausdrückliche Absage an eine Compliance-getriebene Sicherheit sowie eine deutlich aggressivere Abschreckungssprache, die wiederholt von Stören, Zerschlagen und dem Auferlegen von Konsequenzen spreche.

Ido Geffen, Mitgründer und CEO von Novee, sieht den zentralen Unterschied in der Betonung der Prävention: Frühere Ansätze hätten auf Resilienz und langfristige Rahmenwerke gesetzt, dieser sei direkter darin, Gegnern zuvorzukommen. Entscheidend bleibe jedoch, wie die Strategie operationalisiert werde. Dave Gerry, CEO von Bugcrowd, nennt die “Vagheit” als größte Schwäche: Das Papier lese sich eher wie ein übergeordnetes Botschaftsdokument und es fehle die nötige Genauigkeit für konkrete Entscheidungen. Details zu Zeitplänen, zuständigen Behörden, Finanzierung und Umsetzung dürften erst mit weiteren Executive Orders und Gesetzen folgen.