Im Juni 2025 sorgte Präsident Donald Trump mit der Unterzeichnung einer neuen Cybersecurity-Executive Order für Aufsehen. Das Dokument, das offiziell als Executive Order 14306 firmiert, zielt darauf ab, frühere Verordnungen aus der Amtszeit von Biden und Obama zu überarbeiten und einige Inhalte zu modifizieren. Die weitreichenden Auswirkungen dieser Neuerungen bieten eine spannende Grundlage für Diskussionen in der gesamten Cybersecurity-Branche und darüber hinaus. Experten aus verschiedenen Bereichen haben ihre Sichtweisen veröffentlicht, die ein differenziertes Bild zeichnen. Die Debatte reicht von der Entwicklung sicherer Software über Herausforderungen bei der digitalen Identität bis hin zu neuen Maßnahmen im Bereich der Post-Quantum-Kryptographie und der Infrastruktur-Sicherheit.
One der zentralen Anliegen der Executive Order ist die Verbesserung von Softwareentwicklung und -sicherheit. Während Ehemalige Vorschriften von Präsident Biden noch verpflichtende Attestationen für Bundesauftragnehmer zur sicheren Softwareentwicklung beinhalteten, hebt Trump diese Pflicht wieder auf. Dies führt zu kontroversen Reaktionen, denn für viele Branchenvertreter war die verpflichtende Einführung solcher Maßnahmen ein bedeutender Schritt zur Erhöhung der nationalen Sicherheit. Dave Gerry, CEO von Bugcrowd, etwa kritisiert die Rücknahme der sicherheitsorientierten Auflagen als Schritt zurück und warnt vor einer erhöhten Verwundbarkeit der Lieferkette. Er betont, dass die Beschränkung von Sanktionen nur auf ausländische Akteure eine Lücke öffnet, die in Zeiten zunehmender Kooperation zwischen inländischen und ausländischen Cyberbedrohungsakteuren gefährlich sein kann.
Auf der anderen Seite sieht Tim Mackey, Leiter der Software-Supply-Chain-Risiko-Strategie bei Black Duck, in der neuen Verordnung eine Chance zur besseren Zusammenarbeit zwischen Regierung und Industrie. Er verweist auf die verstärkte Rolle des National Institute of Standards and Technology (NIST) und die geplanten Aktualisierungen des Secure Software Development Framework (SSDF). Nach Mackeys Ansicht soll die Initiative die Rechte und Sicherheit der Entwickler stärken, indem klare, anwendungsorientierte Leitlinien herausgegeben werden. Der Treffen von Industriepartnern am National Cybersecurity Center of Excellence (NCCoE) soll die Kompetenzentwicklung und die Verbreitung bewährter Verfahren fördern, damit sichere Software von Beginn an als Grundprinzip entwickelt wird. Dustin Lehr, Sicherheitsexperte bei Security Journey, sieht in der Executive Order eine grundsätzliche Neuausrichtung der nationalen Cybersicherheitsstrategie.
Das Augenmerk liege klar auf sicherer Softwareentwicklung. Ein zentraler Gedanke sei, dass Sicherheit nicht als eine nachträgliche Ergänzung, sondern als integraler Bestandteil des Entwicklungsprozesses verstanden werden müsse. Dieser Paradigmenwechsel könnte langfristig die staatlichen Beschaffungsrichtlinien verändern und damit auch Hersteller und Dienstleister zu höheren Standards verpflichten. Lehr unterstreicht, dass frühzeitige Fehlerbehebung und kontinuierliche Weiterbildung in der Softwareentwicklung essentiell seien, um den Schutz vor Sicherheitsrisiken nachhaltig zu erhöhen und Innovationen zu fördern. Auch Nathan Jones, Leiter für den öffentlichen Sektor bei Sonar, hebt die unveränderte Bedrohungssituation hervor, die trotz der Änderungen bestehen bleibt.
Seiner Meinung nach liegt die Verantwortung weiterhin bei den Behörden und IT-Verantwortlichen, ihre Daten und Missionen zu schützen. Er empfiehlt daher, besonders auf Transparenz bei Softwarelieferanten zu achten und weiterhin auf Instrumente wie Software-Bills of Materials (SBOMs) und Prozesse zur sicheren Softwareentwicklung zu setzen. Jones sieht den Wandel in der Politik als Chance an, die eigene Unternehmenskultur auf Sicherheit auszurichten und Sicherheitsaspekte in den Entwicklungsalltag zu integrieren, anstatt sie als bloße Pflicht zu betrachten. Einen anderen Schwerpunkt legt Karl Holmqvist, Gründer und CEO von Lastwall, der die mit der Executive Order vorangetriebene Beschleunigung der Post-Quantum-Kryptografie-Timelines als enorm bedeutsam einschätzt. Die Eilsetzung für neue Sicherheitsprotokolle bis 2030 sei nicht ohne Grund gewählt.
Holmqvist betont, dass die Ankunft von quantenrelevanten Computern eine grundsätzliche Herausforderung für aktuelle Verschlüsselungsmethoden darstellt, da diese dann schnell gebrochen werden könnten. Die Forderung nach sogenannter Krypto-Agilität – also die Fähigkeit, Kryptosysteme schnell und flexibel auszutauschen – wird dadurch zu einer existenziellen Notwendigkeit für Organisationen. Aufseiten der digitalen Identität äußert sich Ofer Friedman von AU10TIX besorgt über das Risiko von Betrugsfällen, die sich aus der Abschaffung der Förderung digitaler Identitätsnachweise im Auftrag durch Trumps Executive Order ergeben könnten. Während mobile, verschlüsselte digitale Identitäten technisch als sichere Alternative zu physischen Nachweisen gelten, birgt die Migration dorthin Herausforderungen. Insbesondere die Gefahr, dass gefälschte physische Dokumente unentdeckt bleiben und so Probleme bei der tatsächlichen Ausstellung digitaler Identitäten verursachen, steht im Fokus.
Friedman mahnt, dass bei der Umsetzung strengste Schutzmechanismen und sorgfältige Datenpflege erforderlich sind, um Missbrauch vorzubeugen. Michael Smith von DigiCert weist neben den Veränderungen auch auf die konsistenten Elemente der neuen Executive Order hin. Er betont, dass Best Practices wie die Softwareherkunftsprüfung mittels Code-Signing und der Einsatz von SBOMs weiterhin Bestand haben und sogar mit einem positiveren Governance-Ansatz für den Border Gateway Protocol (BGP)-Schutz einhergehen. Diese Maßnahmen fördern die Resilienz der Internetinfrastruktur und setzen klare, umsetzbare Standards, die über politische Veränderungen hinaus Bestand haben sollten. Zusammenfassend bietet die Executive Order 14306 einen umfassenden Rahmen zur Cybersecurity-Neuausrichtung, der unterschiedliche Reaktionen provoziert.
