Änderungen in den Software-Sicherheitsrichtlinien der US-Regierung und ihre Auswirkungen auf Anbieter

Neuausrichtung der Software-Sicherheitsanforderungen durch das Weiße Haus: Auswirkungen auf B2B-Anbieter

Das Office of Management and Budget (OMB) des Weißen Hauses hat kürzlich die Aufhebung zweier zentraler Memoranden bekannt gegeben, die zuvor die Cybersicherheitsanforderungen für Softwareanbieter der US-Regierung regelten. Diese Entscheidung markiert einen signifikanten Richtungswechsel in der staatlichen Herangehensweise an die Software-Lieferkettensicherheit und hat weitreichende Implikationen für Unternehmen, die mit Bundesbehörden zusammenarbeiten.

Historischer Kontext und die ursprünglichen Richtlinien

Die aufgehobenen Memoranden M-22-18 ("Enhancing the Security of the Software Supply Chain through Secure Software Development Practices") und M-23-16 waren im Zuge des Biden-Ära-Ansatzes zur Stärkung der Cybersicherheit entstanden. Sie waren eine direkte Reaktion auf hochkarätige Cybervorfälle wie den SolarWinds-Angriff und zielten darauf ab, die Software-Lieferkette der Regierung durch verbindliche Sicherheitsstandards zu verbessern. Kern dieser Richtlinien war die Anforderung an Softwarehersteller, eine Selbstzertifizierung (Attestierung) einzureichen. Diese bescheinigte die Einhaltung des Secure Software Development Framework (SSDF) des National Institute of Standards and Technology (NIST) vor der Bereitstellung ihrer Produkte für Bundesbehörden. Die Cybersecurity and Infrastructure Security Agency (CISA) entwickelte hierfür ein standardisiertes Attestierungsformular, um die Prozesse zu vereinheitlichen und den Behörden die Bewertung der Sicherheitsreife von Software zu erleichtern.

Begründung der Aufhebung durch das OMB

Die Begründung des OMB für die Aufhebung dieser Mandate ist, dass die bisherigen Richtlinien "nicht bewiesene und belastende Software-Buchhaltungsprozesse auferlegten, die Compliance über echte Sicherheitsinvestitionen stellten". OMB-Direktor Russell Vought führte in einem Memorandum an die Behördenleiter aus, dass diese Politik die Behörden davon abgehalten habe, maßgeschneiderte Anforderungen an die Software-Sicherheit zu entwickeln, und Bedrohungen durch unsichere Hardware vernachlässigt habe. Das OMB betont nun, dass es keine universelle "Einheitslösung" für die Sicherung von Regierungsnetzwerken gebe. Die Verantwortung und Flexibilität zur Bestimmung der geeigneten Sicherheitslage für spezifische Umgebungen wird damit explizit den einzelnen Behörden zugewiesen. Dies soll eine risikobasierte Herangehensweise fördern, bei der jede Behörde ihre Sicherheitsanforderungen an ihre individuellen Risikobewertungen und Missionsanforderungen anpasst.

Auswirkungen auf Softwareanbieter und Bundesbehörden

Für Softwareanbieter, die mit US-Bundesbehörden zusammenarbeiten, bedeutet diese Änderung eine Verschiebung der Compliance-Anforderungen. Während die vorherigen Mandate einen klaren, wenn auch als bürokratisch empfundenen, Rahmen vorgaben, müssen sich Unternehmen nun auf ein potenziell fragmentierteres Umfeld einstellen. Es wird erwartet, dass einzelne Behörden unterschiedliche Ansätze zur Überprüfung der Software-Sicherheit entwickeln könnten. Einige Behörden könnten weiterhin das CISA-Formular oder Teile davon verwenden, während andere eigene Prozesse etablieren, die mehr oder weniger Informationen von den Anbietern verlangen. Dies könnte für Anbieter, die eine breite Palette von Produkten für verschiedene Behörden bereitstellen, die Komplexität erhöhen.

Das OMB hat in seinem Memorandum zwar die Aufhebung der verpflichtenden Attestierung klargestellt, gleichzeitig aber betont, dass Behörden weiterhin die Möglichkeit haben, die im Rahmen von M-22-18 entwickelten Ressourcen, wie das Secure Software Development Attestation Formular und Software Bill of Materials (SBOMs), zu nutzen. Auch die Anforderung, ein vollständiges Inventar von Software und Hardware zu führen, bleibt bestehen.

Kritische Stimmen und die Debatte um die Sicherheit

Die Entscheidung des OMB hat in der Cybersicherheitsgemeinschaft geteilte Meinungen hervorgerufen. Kritiker, darunter ehemalige Regierungsbeamte, äußern die Sorge, dass die Aufhebung der Attestierungspflicht einen Rückschritt in den Bemühungen zur Verbesserung der Cybersicherheit der Regierung darstelle. Nicholas Leiserson, ehemaliger Assistant National Cyber Director, bezeichnete die Selbstzertifizierung als einen wichtigen Schritt zu sichererer Software. Ihre Eliminierung ohne einen Ersatzmechanismus sei ein klarer Rückschritt. Allan Friedman, ein ehemaliger CISA-Berater, hob hervor, dass die Anforderungen und das CISA-Formular dazu dienten, Behörden mit begrenzten Ressourcen zu unterstützen und Anbietern die Compliance mit zahlreichen einzigartigen Anforderungen zu ersparen.

Befürworter der Aufhebung, insbesondere aus der Tech-Industrie, begrüßten die Abkehr von "vorschreibenden Mandaten zugunsten eines risikobasierten Ansatzes". Sie argumentierten, dass die Attestierungsformulare schlecht konzipiert und inkonsistent implementiert worden seien, was zu erheblichem "Papierkram" geführt habe, ohne die Sicherheit wesentlich zu verbessern. Es wurde auch darauf hingewiesen, dass die vorherigen Richtlinien die Bedrohungen durch unsichere Hardware vernachlässigten, ein Aspekt, der in der neuen OMB-Richtlinie explizit berücksichtigt wird.

Bedeutung für die B2B-Zielgruppe

Für B2B-Anbieter, die Software und Hardware an die US-Regierung liefern, sind folgende Punkte von Relevanz:

• Anpassungsfähigkeit ist entscheidend: Unternehmen müssen flexibler in der Erfüllung von Sicherheitsanforderungen werden, da diese von Behörde zu Behörde variieren können.
• Risikobasierte Ansätze verstehen: Ein tiefes Verständnis für die risikobasierten Sicherheitsstrategien der einzelnen Behörden wird unerlässlich sein, um maßgeschneiderte Lösungen anzubieten.
• Hardware-Sicherheit im Fokus: Die explizite Nennung von Hardware-Sicherheit in der neuen Richtlinie bedeutet, dass Anbieter auch hier robuste Nachweise und Prozesse etablieren müssen.
• NIST-Frameworks bleiben relevant: Obwohl die Attestierungspflicht entfällt, bleiben Frameworks wie das NIST SSDF als bewährte Praktiken und Referenzpunkte für sichere Softwareentwicklung weiterhin wichtig. Behörden können diese weiterhin als Grundlage für ihre eigenen Anforderungen heranziehen.
• Kommunikation und Transparenz: Eine proaktive Kommunikation mit den Behördenkunden über die eigenen Sicherheitsmaßnahmen und die Bereitstellung von Artefakten wie SBOMs auf Anfrage kann dazu beitragen, Vertrauen aufzubauen und Compliance-Prozesse zu erleichtern.

Die Neuausrichtung der Software-Sicherheitsregulierung durch das Weiße Haus signalisiert einen Paradigmenwechsel von einer zentralisierten, oft als bürokratisch empfundenen Compliance hin zu einem dezentralisierten, risikobasierten Modell. Während dies potenziell die administrative Last für Anbieter reduzieren kann, birgt es auch die Herausforderung einer erhöhten Komplexität durch fragmentierte Anforderungen. Unternehmen sind nun gefordert, ihre Sicherheitsstrategien anzupassen und eine proaktive Rolle bei der Demonstration ihrer Produkt- und Prozesssicherheit einzunehmen.

Bibliographie:

- Cybersecurity Dive. (2026, 28. Januar). Federal pivot on software security oversight could complicate vendor strategies. - MeriTalk. (2026, 26. Januar). OMB Rescinds Biden-Era Software Security Requirements. - Developer-Tech. (2026, 30. Januar). White House rescinds software security compliance mandates. - Crowell & Moring LLP. (2026, 29. Januar). Software De-Simplified: Trump Administration Rescinds Standardized Secure Software Development Attestation Requirements. - CyberScoop. (2026, 26. Januar). OMB rescinds 'burdensome' Biden-era secure software memo. - JD Supra. (2026, 29. Januar). OMB Rescinds Secure Software Development Mandate in Favor of a Risk-Based Approach. - LinkedIn. (2026, 26. Januar). The Wrap: OMB Scraps Software Security Rules; TikTok's U.S. Makeover. - This Week Health. (2026, 29. Januar). Trump Administration Cuts Security Attestation for Federal Software Vendors. - The White House. (2025, 6. Juni). SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144. - The White House. (2025, 16. Januar). Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity.