Die CISA hat in diesem Jahr die erste verbindliche operative Richtlinie (BOD 25-01) herausgegeben, die zivile Bundesbehörden anweist, ihre Cloud-Umgebungen zu sichern.
Während die CISA nur die geforderten sicheren Konfigurationsgrundlagen (SCBs) für Microsoft 365 fertiggestellt hat, plant sie die Veröffentlichung weiterer Grundlagen für andere Cloud-Plattformen, beginnend mit Google Workspace (voraussichtlich im zweiten Quartal des Geschäftsjahres 2025).
Diese regierungsweite Richtlinie zielt darauf ab, die Angriffsfläche von Bundesnetzwerken zu verringern, indem sie verbindliche Sicherheitspraktiken für Cloud-Dienste vorschreibt, um die Systeme und Anlagen der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) zu schützen.
BOD 25-01 verlangt von den FCEB-Behörden, dass sie die von der CISA entwickelten automatisierten Tools zur Konfigurationsbewertung (ScubaGear für Microsoft 365-Audits) einsetzen, in die kontinuierliche Überwachungsinfrastruktur der Cybersecurity-Behörde integrieren und alle Abweichungen von den sicheren Konfigurationsgrundlagen innerhalb vordefinierter Zeitrahmen beheben.
"Die jüngsten Vorfälle im Bereich der Cybersicherheit verdeutlichen die erheblichen Risiken, die von Fehlkonfigurationen und schwachen Sicherheitskontrollen ausgehen, die Angreifer nutzen können, um sich unbefugten Zugang zu verschaffen, Daten zu exfiltrieren oder Dienste zu stören", erklärte die CISA heute.
"Diese Richtlinie verlangt von zivilen Bundesbehörden, bestimmte Cloud-Mieter zu identifizieren, Bewertungswerkzeuge zu implementieren und Cloud-Umgebungen an die sicheren Konfigurationsgrundlagen der CISA Secure Cloud Business Applications (SCuBA) anzupassen."
Für alle in den Geltungsbereich fallenden Cloud-Mieter müssen die FCEB-Agenturen die folgenden Maßnahmen ergreifen:
- Identifizierung aller Cloud-Mieter, die in den Anwendungsbereich dieser Richtlinie fallen, bis spätestens Freitag, 21. Februar 2025.
- Bereitstellung aller SCuBA-Bewertungstools für die untersuchten Cloud-Mieter bis spätestens Freitag, 25. April 2025, und mit der kontinuierlichen Berichterstattung über die Anforderungen dieser Richtlinie beginnen.
- Umsetzung aller verbindlichen SCuBA-Richtlinien, die mit dem Erscheinen dieser Richtlinie in Kraft treten, bis spätestens Freitag, 20. Juni 2025.
- Umsetzung aller künftigen Aktualisierungen der obligatorischen SCuBA-Richtlinien.
- Implementieren Sie alle obligatorischen SCuBA Secure Configuration Baselines und beginnen Sie mit der kontinuierlichen Überwachung neuer Cloud-Mieter, bevor Sie eine Betriebsgenehmigung (Authorization to Operate, ATO) erteilen.
Die aktuelle Liste der obligatorischen Richtlinien ist auf der Website Required Configurations verfügbar. Im Moment enthält sie nur sichere Konfigurationsgrundlagen für Microsoft 365-Produkte, einschließlich Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive und Microsoft Teams.
Obwohl BOD 25-01 nur für zivile Bundesbehörden gilt, rät die CISA allen Organisationen dringend, diese Richtlinie zu übernehmen und der Sicherung ihrer Cloud-Umgebungen Priorität einzuräumen, um die Angriffsfläche und das Risiko von Sicherheitsverletzungen deutlich zu verringern.
Letztes Jahr hat die CISA eine weitere verbindliche operative Richtlinie (BOD 23-02) herausgegeben, in der die Bundesbehörden aufgefordert werden, Netzwerkgeräte, die dem Internet ausgesetzt sind oder falsch konfiguriert wurden, innerhalb von 14 Tagen nach ihrer Entdeckung zu sichern.
Zwei Jahre zuvor hatte der BOD 22-01 der Cybersecurity-Agentur die FCEB-Agenturen beauftragt, das erhöhte Risiko, das von bekannten, ausgenutzten Schwachstellen ausgeht, zu reduzieren, indem sie diese innerhalb eines aggressiven Zeitrahmens entschärfen.
