Thought Leadership
Die US-Cybersicherheitsbehörde CISA verkürzt die Frist zum Beheben kritischer Sicherheitslücken auf drei Tage, da Angreifer zunehmend KI nutzen.
Die US-Cybersicherheitsbehörde CISA hat eine neue verbindliche Richtlinie für zivile Bundesbehörden erlassen. Demnach müssen die Ministerien und Behörden kritische, aus dem Internet erreichbare Sicherheitslücken innerhalb von drei Kalendertagen schließen, abschalten oder vom Netz trennen. Bisher standen den IT-Abteilungen für die Behebung solcher Schwachstellen längere Zeiträume zur Verfügung.
Der Grund für diese drastische Verkürzung der Reaktionszeit ist der zunehmende Einsatz von künstlicher Intelligenz durch Cyberkriminelle. Durch neue, leistungsfähige KI-Modelle wie beispielsweise Mythos von Anthropic sind Angreifer in der Lage, neu entdeckte Sicherheitslücken in Software und Hardware automatisiert und wesentlich schneller als bisher auszunutzen.
CISA gibt gestaffelte Fristen vor
In der Richtlinie wird betont, dass sich das Zeitfenster für Gegenmaßnahmen massiv verengt habe und unverzüglich gehandelt werden müsse, um die amerikanischen Netzwerke zu härten.
„Verteidiger können es sich nicht leisten, Wochen zu brauchen, um Systeme zu patchen, die autonom in großem Stil ausgenutzt werden können.“
Chris Butera, kommissarischer stellvertretender Exekutivdirektor für Cybersicherheit bei der CISA
Die neue Dreitagesfrist gilt jedoch ausschließlich für die schwerwiegendsten Kategorien von digitalen Schwachstellen, die direkt über das Internet angreifbar sind. Für weniger kritische Sicherheitsrisiken, die sich nicht ohne Weiteres automatisieren lassen oder nicht direkt exponiert sind, sieht die Verordnung einen gestaffelten Zeitplan vor. Für diese Kategorien verbleiben den Behörden je nach Risikostufe zwischen zwei Wochen und bis zu 60 Tagen Zeit für die Behebung.
(red)
