Erodiert die Security-Reputation der USA?

Nachdem US-Präsident Donald Trump nun auch Cybersicherheitsunternehmen per Executive Order für abweichende politische Positionen abstraft, befürchten nicht wenige Branchenexperten, dass US-Sicherheitsunternehmen künftig ähnlich in Verruf geraten könnten wie ihre russischen und chinesischen Konkurrenten. Die zentralen Fragen sind dabei:

• Können sich CISOs beziehungsweise ihre Unternehmen künftig noch auf US-amerikanische Bedrohungsinformationen verlassen?
• Lassen sich US-Sicherheitsfirmen in Zukunft auf problematische Positionen ein, um die Gunst der Trump-Administration und damit Sicherheitsfreigaben nicht zu verlieren?

„Die Tatsache, dass Trump sich Russland annähert, ist bestenfalls problematisch“, meint Jim Routh, Ex-Sicherheitsentscheider zahlreicher namhafter Unternehmen wie KPMG, American Express oder JP Morgan und aktueller Chief Trust Officer des Sicherheitsanbieters Savivnt. Routh argumentiert, dass Bedrohungen aus Russland, China, Nordkorea und dem Iran heute eine wesentlich größere Rolle spielten als noch vor einigen Jahren.

Angesichts der drastischen Kürzungen bei US-Geheimdienstressourcen seien Unternehmen deshalb vor allem auf kommerzielle Security-Informationen und -Services angewiesen. „Das erfordert wiederum, dass die Anbieter von der Regierung eine ‚Security Clearance‘ bekommen. Und die Trump-Administration hat diesen Prozess politisiert“, kritisiert der Manager.

Die SentinelOne-Episode

Damit spielt Routh auf die eingangs bereits erwähnte Executive Order der Trump-Regierung an, die einer persönlichen Abrechnung mit Chris Krebs, ehemals Leiter der US-Cybersicherheitsbehörde CISA sowie Chief Intelligence and Public Policy Officer bei SentinelOne, gleichkommt.

Ganz konkret hat sich Krebs laut der US-Regierung der “Meinungszensur” schuldig gemacht: „Unter der Leitung von Krebs hat die CISA gezielt konservative Standpunkte unter dem Deckmantel der vermeintlichen Bekämpfung von Desinformation unterdrückt und große Social-Media-Plattformen dafür rekrutiert oder dazu gezwungen, sich dieser parteipolitischen Mission anzuschließen“, heißt es in der Executive Order. Mit „konservativen Standpunkten“ meint die Trump-Administration in erster Linie alternative Fakten mit Bezug zur US-Wahl 2020 und der COVID-Pandemie.

Die Strafe dafür: Nicht nur Chris Krebs wurden per Executive Order sämtliche aktiven ‚Security Clearances‘ entzogen, sondern allen Personen und Institutionen, die mit ihm in Verbindung stehen – also auch SentinelOne. Laut dem US-Präsidenten sei zu prüfen, ob diese Freigaben „mit dem nationalen Interesse vereinbar sind“. In der Konsequenz trat Krebs von seinem Posten bei SentinelOne zurück – in der Hoffnung dass die Trump-Administration dann das Unternehmen verschont. Der aktuelle Status der Sicherheitsfreigaben für Krebs und SentinelOne ist – wie vieles, nachdem Trump seinen Stift geschwungen hat – unklar.

Welche Auswirkungen diese Entwicklung potenziell auf die Sicherheitsentscheider in (US-)Unternehmen hat, bringt Kurtis Minder, CEO beim Threat-Intel-Spezialisten GroupSense, auf den Punkt: „In Zukunft könnte es nötig werden, dass CISOs die Herkunft der Führungskräfte von Sicherheitsanbietern und ihre politischen Positionen bei ihren Entscheidungen berücksichtigen müssen. Das wäre meiner Meinung nach unhaltbar und eine wirklich schlechte Entwicklung.“

Ob es so kommt – oder die SentinelOne-Episode ein Einzelfall bleibt – bleibe abzuwarten, so Minder.

“Der Schaden wird unermesslich sein”

Ein noch größeres Problem könnte für US-Sicherheitsanbieter jedoch mit Blick auf den Gesamtmarkt entstehen, warnt Chief Trust Officer Routh – und verweist auf das Schicksal von Kaspersky, das er als CISO beim Gesundheitsdienstleister Aetna “live” miterlebt hat: „Obwohl die Technologie ausgezeichnet war, war klar, dass Kaspersky eng mit der russischen Regierung verbunden ist. Das war schließlich ausschlaggebend dafür, Kaspersky aus dem gesamten Unternehmen zu verbannen.“

David Shipley, CEO bei Beauceron Security, teilt Rouths Bedenken: „Was, wenn die Trump-Regierung Sicherheitsanbieter auffordert, wegzuschauen? Zum Beispiel, wenn bestimmte Exploits von befreundeten Regierungen entwickelt werden und die Anweisung aus dem Weißen Haus lautet, dass diese nicht über Endpoint-Lösungen entdeckt werden sollen.“

Trumps Maßnahmen seien ein eventuell unbeabsichtigtes, aber großes Geschenk an die Cybersecurity-Unternehmen aus anderen Ländern wie Deutschland, Kanada, Israel oder Japan, die nur zu gerne die Marktposition von großen US-Anbietern übernehmen würden, so Shipley. Der Security-Manager zieht ein ernüchterndes Fazit: „Die US-amerikanische Tech-Marke hat damit einen brutalen Schlag erlitten. Wenn ich ein global agierender CISO wäre, würde ich jetzt reevaluieren, woher ich meine Technologie beziehe – um sicherzustellen, dass diese nicht von Regierungsseite beeinflusst wird.“

In der Konsequenz rechnet Shipley damit, dass viele Entscheider künftig mit Anbietern planen, die in Ländern ansässig sind, in denen Rechtsstaatlichkeit und demokratische Normen großgeschrieben werden: „Der Schaden für die US-amerikanische Technologiemarke wird unermesslich sein. CISOs brauchen Security-Anbieter, die nicht den politischen Launen der jeweiligen Regierung folgen.“

Es gibt jedoch auch Experten, die die Geschehnisse rund um Chris Krebs und SentinelOne weniger verheerend interpretieren. Etwa Steve Zalewski, Cybersecurity-Berater und Ex-CISO von Levi Strauss: „Meiner Meinung nach geht es hier in erster Linie um ein persönliches Problem zwischen Donald Trump und Chris Krebs, das vor allem mit den Präsidentschaftswahlen zu tun hat. SentinelOne ist nur ein temporärer Kollateralschaden.”

Der US-Präsident sei eben einfach ein New Yorker, der keine Kränkung vergesse – und sich nun rächen wolle. „Ich glaube nicht, dass Trump im Sinn hat, dieses Vorgehen auch bei anderen Security-Unternehmen anzuwenden“, konstatiert Zalewski.

Auch Will Townsend, Chefanalyst bei Moor Insights & Strategy, bezweifelt, dass Trumps Executive Order große Auswirkungen auf die Security-Branche haben wird: „Die USA verfügen über die meisten Cybersicherheitsunternehmen weltweit. Ich gehe nicht davon aus, dass CISOs aufgrund der Ereignisse rund um den Rücktritt von Krebs ihr Business in andere Regionen verlagern werden.“ (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.