US-Behörden müssen nicht mehr prüfen, was in ihrer Software drin ist

Das Weiße Haus hebt Vorgaben für IT-Sicherheit bei US-Bundesbehörden auf. Die in Folge des Solarwinds-Desasters erstellten Regeln für behördlich genutzte Software sind nicht länger bindend. Wesentlicher Bestandteil war, dass Behörden erheben, von welchen Bibliotheken, Programmen und Diensten ihre Software abhängt (SBOM, Software Bill of Materials). Wer diese Information hat, kann leichter erkennen, ob seine Software von bekannt gewordenen Sicherheitslücken betroffen ist.

Vergangenen Freitag hat das Office of Management and Budget (OMB), eine Abteilung des Weißen Hauses, die Aufhebung der bisherigen Sicherheitsregeln für Beschaffung und Einsatz von Software aufgehoben (M-26-05). Fortan soll jede Behörde für sich entscheiden, welchen Risiken sie ausgesetzt ist und wie sie diesen zu begegnen hat. Dies ist Ausfluss der Deregulierungspolitik des republikanischen US-Präsidenten Donald Trump.

Ab sofort ist Bundesbehörden freigestellt, ob sie das NIST Secure Software Development Framework (SSDF), SP 800-218 und die NIST Software Supply Chain Security Guidance einhalten möchten oder nicht. Diese Regeln werden in dem neuen Erlass als „unbewiesen und mühsam” bezeichnet, die „Compliance über echte Sicherheitsinvestitionen gestellt” hätten. Was er als echte Sicherheitsinvestitionen erachtet, lässt OMB-Chef Russell Vought offen.

„Jede Behörde soll die Sicherheit ihrer Lieferanten validieren, indem sie sichere Programmierprinzipien anwendet, basierend auf einer umfassenden Risikoeinschätzung”, gibt er allgemein gehalten vor. Zwar sollen Behörden ein Verzeichnis der bei ihnen eingesetzten Soft- und Hardware führen sowie jeweils eigene Richtlinien und Prozesse für Hard- und Software ausarbeiten, aber nur soweit dies „ihre Risikoeinschätzung und Aufgabenstellungen” erfordern. Was das in der Praxis heißt, bleibt den einzelnen Behörden überlassen.

Solarwind, Biden und NIST

Die jetzt aufgehobenen Sicherheitsvorkehrungen haben eine Vorgeschichte: 2019 gelang es mutmaßlich staatlichen Angreifern Russlands, Solarwinds‘ Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. Solarwinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen sowie Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren, weil die Angreifer das Arsenal an Hack-Software geplündert hatten. Fireeye gehörte zum Teil der CIA. Im Februar 2021 sprach Microsoft-Manager Brad Smith vom „größten und raffiniertesten Angriff, den die Welt je gesehen hat“.

Nach diesem schweren Schlag ergriff der damalige US-Präsident Joe Biden Maßnahmen, die im Mai 2021 in einem Erlass für IT-Sicherheit in Bundesbehörden (Executive Order 14028 Improving the Nation’s Cybersecurity) verdichtet wurden. Dazu gehörte die Absicherung der Lieferkette für Software. Das NIST (National Institute for Standards an Technology), eine Abteilung des US-Handelsministeriums, schritt zur Tat und arbeitete die erwähnten Secure Software Development Framework und Software Supply Chain Security Guidance aus. Zeitgemäß, denn inzwischen ist fast jedes dritte Unternehmen von Angriffen auf seine Software-Lieferkette betroffen.

Umsetzung in US-Behörden ab 2022

Die Einhaltung dieser NIST-Empfehlungen wurde durch OMB-Erlass M-22-18 für Bundesbehörden ab September 2022 verpflichtend. Lieferanten mussten zeigen, dass sie ihre Software unter Einhaltung von Sicherheitsprinzipien entwickeln und welche Komponenten enthalten sind (SBOM). Ausgenommen waren behördliche Eigenentwicklungen, die sich jedoch tunlichst an den gleichen Regeln orientieren sollten.

Im Juni 2023 verlängerte OMB-Erlass M-23-16 bestimmte Übergangsfristen bis Dezember des Jahres und stellte klar, dass Open Source Software nicht erfasst ist. Schließlich gibt es dort keinen zentralen Lieferanten, der die Entwicklung überwacht. Außerdem wurde proprietäre frei verfügbare Software ausgenommen, beispielsweise Webbrowser. Denn Anbieter kostenloser Software setzen meist auf „friss oder stirb” – sie sind schwer dazu zu bewegen, Zertifizierungen zu durchlaufen und Abhängigkeiten offenzulegen.

Entwicklungen im Behördenauftrag waren so weit ausgenommen, als die Behörde die Entwicklung bestimmt und beaufsichtigt, denn das galt dann als Eigenentwicklung. Die Einschränkungen des Jahres 2023 gehen der amtierenden US-Regierung nicht weit genug. Sie hebt beide OMB-Erlässe aus der Amtszeit Bidens auf.

(ds)