CISA schreibt beschleunigte Patch-Verwaltung für Bundesbehörden unter neuer Richtlinie BOD 26-04 vor
Die U.S. **Cybersecurity and Infrastructure Security Agency (CISA)** hat eine kritische neue Richtlinie, die **Binding Operational Directive (BOD) 26-04**, veröffentlicht, welche die Fristen für die Behebung von Schwachstellen für Bundesbehörden des zivilen Exekutivzweigs (FCEB) erheblich verschärft. Dieser Schritt zielt darauf ab, die Anfälligkeit des öffentlichen Sektors für Cyberangriffe drastisch zu reduzieren, indem eine schnelle Patch-Verwaltung vorgeschrieben wird, wobei für einige hochriskante Schwachstellen eine Behebung in nur drei Tagen erforderlich ist.
**CISA's BOD 26-04** ersetzt frühere Richtlinien, **BOD 19-02** und **BOD 22-01**, und signalisiert eine erhöhte Dringlichkeit bei der Bewältigung von Cybersicherheitslücken in föderalen Systemen. Die Richtlinie führt einen gestaffelten Ansatz zur Behebung ein, der auf vier Hauptkriterien basiert:
* Ob das Asset online öffentlich zugänglich ist.
* Vorhandensein der Schwachstelle im **CISA's Known Exploited Vulnerabilities (KEV)**-Katalog.
* Ob die Ausnutzung für groß angelegte Angriffe automatisiert werden kann.
* Ob die Ausnutzung Angreifern die teilweise oder vollständige Kontrolle über ein System gewährt.
Abhängig von diesen Faktoren gelten für die Behörden strenge Fristen. Die kritischsten Schwachstellen, die öffentlich zugänglich sind, im **KEV**-Katalog aufgeführt sind und eine automatisierte, vollständige Systemkontrolle ermöglichen, müssen innerhalb von drei Tagen behoben werden. Weniger dringende Fälle, bei denen eine automatisierte Ausnutzung nicht möglich ist oder nur eine teilweise Kontrolle ermöglicht, haben eine Frist von zwei Wochen.
*Fristen für die Behebung von Schwachstellen
Quelle: CISA*
### Geltungsbereich und Implementierung
**BOD 26-04** richtet sich speziell an U.S. Federal Civilian Executive Branch (FCEB)-Behörden und deren Informationssysteme. Dies umfasst verschiedene Regierungsabteilungen, schließt jedoch bestimmte militärische Systeme, private Unternehmen, Systeme der Nachrichtendienste und Auftragnehmer aus.
Trotz seines direkten Fokus wird erwartet, dass die Richtlinie einen Präzedenzfall schafft und die breitere Cybersicherheitsbranche beeinflusst, indem sie klare Prioritäten für die Patch-Verwaltung in allen Sektoren setzt. Das Mandat erstreckt sich auf alle lokalen föderalen Systeme, von Drittanbietern gehostete Systeme sowie auf FedRAMP- und Nicht-FedRAMP-Cloud-Umgebungen.
Behörden sind nun verpflichtet, ihre Richtlinien für das Schwachstellenmanagement zu aktualisieren, um sie an **BOD 26-04** anzupassen, Inventuren zu verbessern und die Berichterstattung über den **KEV**-Status zu automatisieren. Innerhalb von 60 Tagen müssen die Prozesse für das Schwachstellenmanagement aktualisiert werden, um **CVE**- und **KEV**-Daten für Entscheidungen zur Behebung zu nutzen. Innerhalb von 180 Tagen müssen alle Behörden die neuen Behebungsfristen vollständig einhalten und kontinuierliche Überwachung sowie detaillierte Berichterstattung über Asset-Metadaten implementieren.