Im Zentrum der Strategie steht eine offensivere Ausrichtung. Das Dokument fordert mehr offensive Cyberaktionen gegen kriminelle Netzwerke und feindliche Staaten. Cairncross bekräftigte auf dem Forum die Zusage, sowohl Akteuren auf Nationalstaatsebene als auch Cyberkriminellen “Kosten aufzuerlegen”. Als jüngste Erfolge führt das Papier die Beschlagnahme von Bitcoin im Wert von 15 Milliarden Dollar von der kambodschanischen Betrugsfirma Prince Group an sowie offensive Cyberaktionen, die angeblich während der Militäroperation zur Festnahme des früheren venezolanischen Präsidenten Nicolás Maduro durchgeführt wurden.

Deutliche Kritik kam aus dem Kongress. Bennie Thompson (Demokrat aus Mississippi), ranghöchstes Minderheitsmitglied im Committee on Homeland Security, nannte die Strategie “beeindruckend leistungsschwach, selbst gemessen an den miserablen Maßstäben, die sich diese Regierung selbst gesetzt hat”. Das wenige an Substanz sei “ein Mischmasch aus vagen Plattitüden” und einem langen Katalog von “Wir werden”-Bekundungen. Es fehle jeder grundlegende Plan, wie die Ziele erreicht werden sollen – möglicherweise erschwert durch den Aderlass an Cyber-Fachkräften in den Bundesbehörden seit Amtsantritt Trumps. Ein Sprecher Thompsons erklärte, es sei unklar, ob das Weiße Haus ein längeres, detaillierteres Dokument plane.

Ein Schwerpunkt liegt auf der Härtung der Bundesverwaltung. Cairncross kündigte ein behördenübergreifendes Programm an, das neue Sicherheitstechnik schneller ausrollen soll. Der Privatwirtschaft sollen “Anreize” geboten werden, um gegnerische Netzwerke gemeinsam mit defensiven und offensiven Cyberoperationen der Regierung zu identifizieren und zu stören.

Gleichzeitig soll Regulierung abgebaut werden. Der Plan will “belastende, ineffektive Vorschriften entfernen” und Informationssysteme modernisieren. Cyberabwehr dürfe nicht auf eine “kostspielige Checkliste” reduziert werden, die Vorbereitung und Reaktion verzögere. Cairncross nannte konkret die Offenlegungsregel der SEC, die börsennotierte Unternehmen verpflichtet, Cybervorfälle innerhalb von vier Werktagen nach Entdeckung zu melden, sowie den anstehenden Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) als Regelungen, die überarbeitet werden müssten. Man wolle der Industrie keine Compliance-Checkliste aufzwingen, um anschließend Verantwortung abzuwälzen.

Trotz geringerer regulatorischer Last erwartet die Regierung laut Cairncross, dass die Privatwirtschaft Cybersicherheit auf die Ebene von Vorstand und Chefetage hebt. Der Bund will seinerseits Post-Quanten-Kryptografie und KI-gestützte Sicherheitslösungen einsetzen. Beim Schutz kritischer Infrastruktur – die überwiegend in privater Hand liegt – ruft die Strategie zur Abkehr von “Anbietern und Produkten aus gegnerischen Staaten” und zur Förderung US-amerikanischer Technologien auf. Geplant sind zudem bundesstaatsspezifische Pilotprogramme für Sektoren wie Wasser, Landwirtschaft und ländliche Krankenhäuser.

Weitere Felder bleiben vage. Zur Absicherung des KI-Technologie-Stacks samt Modellen und Rechenzentren nennt das Papier keine konkreten Maßnahmen. Cairncross deutete einen “secure-by-design”-Ansatz nach Vorbild der Biden-Ära an, der KI-Unternehmen zu grundlegenden Sicherheitsstandards verpflichten würde, ohne diese Standards näher zu benennen. Beim Fachkräfteaufbau plant er ein behördenübergreifendes Programm für eine Art Cyber-Akademie-Accelerator, das bestehende staatliche Cyberprogramme bündeln und mit privatem Kapital skalieren soll. Im November hatte Cairncross ein begleitendes Dokument mit konkreten Maßnahmen und Ergebnissen angekündigt; ein Veröffentlichungstermin ist offen.