Die Cybersicherheit hat in den letzten Jahren aufgrund zunehmend komplexer Bedrohungen und hochentwickelter Angriffe eine immer größere Bedeutung gewonnen. Insbesondere der Schutz kritischer Infrastrukturen, Regierungsnetze und sensibler Daten ist zentral für die nationale Sicherheit sowie das wirtschaftliche Wohlergehen. Im Juni 2025 hat ein neuer Exekutivbefehl von Präsident Donald Trump für erhebliche Unruhe in der Sicherheitsbranche und bei Cyberexperten gesorgt, da er mehrere streng eingeführte Maßnahmen, die unter der Vorgängerregierung unter Joe Biden etabliert wurden, deutlich aufweicht oder ganz aufhebt. Diese Entscheidung wirft Fragen hinsichtlich der zukünftigen Sicherheit amerikanischer digitaler Infrastrukturen auf und beleuchtet die Spannungen zwischen wirtschaftlichen Interessen und Cybersicherheitsanforderungen. Unter der Biden-Regierung wurden umfangreiche Strategien erarbeitet, um die Sicherheit von Softwareprodukten – vor allem solche, die Regierungsstellen und deren Auftragnehmer betreffen – deutlich zu erhöhen.
Diese beinhalteten verbindliche Vorschriften für eine sichere Softwareentwicklung, die Einführung von quantenresistenten Verschlüsselungstechniken und strengere Authentifizierungsverfahren. Die Vorgaben entstanden auch vor dem Hintergrund weitreichender Cyberangriffe wie dem SolarWinds-Hack 2020, bei dem tausende Kunden, darunter zahlreiche Bundesbehörden und große Unternehmen, kompromittiert wurden. Die Folgen des SolarWinds-Angriffs führten zu einem Paradigmenwechsel: Die US-Regierung forcierte den Aufbau eines sicheren Softwareentwicklungskonzepts, bei dem Hersteller und Dienstleister ein hohes Maß an Transparenz und Qualitätssicherung erfüllen sollten. Die Einführung eines sogenannten Secure Software Development Framework (SSDF) zählte zu den zentralen Elementen dieser Strategie. Darüber hinaus wurde ein starker Fokus auf die Entwicklung von Quantenkryptografie gelegt, um kommende Bedrohungen durch Quantencomputer abzuwehren – Technologien, die herkömmliche Verschlüsselungsalgorithmen innerhalb kürzester Zeit knacken könnten.
Weitere Maßnahmen betrafen die verstärkte Absicherung von Internet-Routing-Protokollen wie dem Border Gateway Protocol (BGP), das maßgeblich für den Datenverkehr im Internet verantwortlich ist, sowie die Förderung digitaler Identitäten zur Vereinfachung und Sicherung von Online-Authentifizierung. Mit dem neuen Exekutivbefehl, der am 6. Juni 2025 in Kraft trat, wurden jedoch viele dieser Vorschriften zurückgenommen oder abgeschwächt. Begründet wird dies mit der Darstellung der Biden-Maßnahmen als „problematisch“ und als Ablenkung von Kern-Cybersicherheitsproblemen. Die Folge sind jedoch zahlreiche kritische Stimmen von Fachleuten, die vor einer Verwässerung der Sicherheitsstandards warnen.
Insbesondere der Wegfall der verpflichtenden Selbstzertifizierung von Anbietern kritischer Software wird als problematisch erachtet. Unter der Biden-Regierung mussten Firmen gegenüber der Cybersecurity and Infrastructure Security Agency (CISA) nachweisen, dass ihre Produkte und Produktionsprozesse den Sicherheitsanforderungen des SSDF entsprechen. Mit dem neuen Befehl ist diese Verpflichtung aufgehoben worden. Stattdessen soll das National Institute for Standards and Technology (NIST) eine Art Referenzimplementierung erstellen – allerdings ohne verpflichtende Nachweise und nur als Orientierungshilfe. Kritiker argumentieren, dass dadurch die Tür geöffnet wird für eine bloße formale Erfüllung der Vorgaben, ohne tatsächliche Umsetzung der umfassenden Sicherheitskontrollen.
Besonders besorgniserregend ist auch das Zurückfahren der Anforderungen an die Einführung quantenresistenter Verschlüsselungsverfahren. Die Entwicklung und Integration solcher Algorithmen gilt als eine der größten technologischen Herausforderungen der kommenden Jahre, da heutige Daten und Kommunikationssysteme künftig gegen mächtige Quantencomputer geschützt werden müssen. Ohne zwingende Vorgaben und klare Fristen wird der Übergang zu sicheren Algorithmen verzögert, was die Verwundbarkeit gegen zukünftige Angriffe erheblich erhöht. Neben internen Maßnahmen wurden auch internationale Initiativen eingestellt. Die Trump-Regierung hat die Anweisung aufgehoben, US-Verbündete und internationale Firmen zu ermutigen, die vom NIST erarbeiteten Post-Quantum Cryptography (PQC)-Algorithmen einzuführen.
Dies könnte die globale Wettbewerbsfähigkeit und technologische Führungsrolle der USA beeinträchtigen und gestattet anderen Staaten, eigene Standards ohne US-Einfluss voranzutreiben. Ein weiterer zentrales Element des neuen Exekutivbefehls ist das Herausnehmen von Maßnahmen zur Verbesserung der Sicherheit im Internet-Routing. Die Biden-Administration hatte erkannt, dass das Border Gateway Protocol (BGP) als primärer Mechanismus für die Weiterleitung von Internetverkehr nach wie vor gravierende Sicherheitsmängel aufweist, die Angriffe wie das Hijacking von IP-Adressen ermöglichen. Als Antwort darauf gab es Initiativen zur Einführung von Technologien wie Resource Public Key Infrastructure (RPKI) und Route Origin Authorization (ROA). Diese sollen jedoch mit der neuen Regelung nicht mehr aktiv durchgesetzt werden.
Die Folgen sind potenziell weitreichend, da schon in der Vergangenheit Angreifer kritische Zeitspunkte im internationalen Verkehrswesen nutzen konnten, um Banken, Energieversorger oder andere essenzielle Dienste zu stören. Die Abschwächung dieser Maßnahmen könnte das Internet anfälliger machen für Manipulationen und Angriffe, die wirtschaftlichen Schaden und Gefährdungen der öffentlichen Sicherheit nach sich ziehen. Auch in Bezug auf digitale Identität wurden die Bemühungen gestoppt. Während der Einsatz von digitalen Identitäten eine verbesserte Sicherheits- und Zugangssteuerung verspricht, führten politische Bedenken und Befürchtungen hinsichtlich rechtlicher Probleme zur Entscheidung, diese Entwicklungen auszubremsen. Die Argumentation, dass digitale Identitäten möglicherweise Missbrauchspotenzial bieten und illegale Zugänge zu Sozialleistungen ermöglichen könnten, dominierte hier die Debatte.
Diese Änderung wurde besonders deshalb diskutiert, weil digitale Identitäten weltweit als wichtige Grundlage für vertrauenswürdige digitale Ökosysteme gelten und fehlende Standards das Risiko von Betrug und Identitätsdiebstahl erhöhen können. Kritiker des Exekutivbefehls sehen in der Richtung eine klare Verschiebung hin zu wirtschaftsfreundlichen, aber sicherheitskritischen Maßnahmen. Es wird vor einer Aufweichung bewährter Sicherheitspraktiken gewarnt, die in der Vergangenheit bereits konkrete Angriffe verhindert oder zumindest erschwert haben. Der Verzicht auf die Durchsetzung von Sicherheitsstandards wird als Einladung für Unternehmen und staatliche Einrichtungen gesehen, mehr Risiken einzugehen oder Sicherheitsfragen eher zu ignorieren. Die Kosten und der Aufwand für umfassende Sicherungsmaßnahmen sind zweifellos hoch und werden von Unternehmen häufig als Belastung wahrgenommen.
Gleichwohl führt die Vernachlässigung dieser Maßnahmen bei einem Vorfall oft zu weitaus höheren Schäden, etwa durch Datenverluste, Reputationsschäden oder sogar nationale Sicherheitskrisen. Die Meinungen von Experten verdeutlichen ein differenziertes Bild: Zum einen wird anerkannt, dass Regulierung und Compliance mit strengen Vorgaben eine Herausforderung darstellen. Andererseits betonen viele die Dringlichkeit, der Dynamik von Cyberbedrohungen mit entschlossenen und verpflichtenden Sicherheitsstandards zu begegnen. Die Zeit als wichtiger Faktor wird in diesem Zusammenhang häufig erwähnt – denn während die Angriffsvektoren an Komplexität gewinnen und automatisierte Angriffstechniken sich weiterentwickeln, ist Reaktionsfähigkeit und Prävention entscheidend. Auch der Einfluss auf private Unternehmen ist beträchtlich.
Viele Firmen, die mit dem Bundesstaat oder kritischen Infrastrukturen arbeiten, mussten sich bisher auf strengere Sicherheitsvorgaben einstellen. Die Aufweichung dieser Regeln kann sie in eine Grauzone zwischen minimaler Compliance und tatsächlicher Sicherheit treiben, was langfristig auch Lieferketten und Partnernetzwerke beeinflusst. Die digitale Abhängigkeit der Wirtschaft und Verwaltung von funktionierender und sicherer IT-Infrastruktur lässt sich nicht ignorieren. Zudem wird international beobachtet, wie die Cybersicherheitspolitik der USA aufgestellt ist, da sie als Vorbild oder Orientierung für viele andere Länder gilt. Die Entscheidung, bestimmte Vorgaben zurückzunehmen, könnte somit auch politische Signalwirkungen entfalten.
