CISA stellt Finanzierung für langjähriges Cybersicherheitsprogramm ein

Kann so etwas in Deutschland auch passieren?

Bild: KI

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat ihre Finanzierungsvereinbarung mit dem Center for Internet Security (CIS) beendet, und lokale und staatliche Beamte fragen sich, wie sie angesichts wachsender Bedrohungen die Cybersicherheit aufrechterhalten können. Es ist das Ende jährlicher Investitionen in Höhe von 27 Milliarden Dollar in Cybersicherheit. Kann das in Deutschland auch passieren?

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat ihre Finanzierungsvereinbarung mit dem Center for Internet Security (CIS) beendet, einer gemeinnützigen Organisation, die seit über zwei Jahrzehnten eine wichtige Rolle beim Schutz von Bundesstaaten und lokalen Behörden vor Cyberbedrohungen spielt.

In einer am Montag veröffentlichten Erklärung teilte die CISA mit, dass ihre Kooperationsvereinbarung mit dem CIS wie geplant am 30. September 2025 auslaufen wird.

Dies bedeutet das Ende einer jährlichen Investition der Bundesregierung in Höhe von 27 Millionen US-Dollar, die nach Ansicht vieler Vertreter der Cybersicherheitsbranche von entscheidender Bedeutung war.

„Dieser Übergang spiegelt die Mission der CISA wider, die Rechenschaftspflicht zu stärken, die Wirkung zu maximieren und SLTT-Partner [auf staatlicher, lokaler, Stammes- und Territorialebene] zu befähigen, heute zu verteidigen und morgen zu sichern“, erklärte die CISA.

Die CISA signalisiert eine Verlagerung hin zu einem neuen Modell der Cybersicherheitsunterstützung, das laut der Behörde den Zugang zu Fördermitteln, kostenlosen Tools und direktem Cybersicherheits-Know-how für lokale Behörden umfasst.

Cybersicherheitsexperten weisen jedoch darauf hin, dass Förderprogramme und kostenlose Tools zwar vorteilhaft sind, aber oft erfordern, dass lokale Behörden komplexe Antragsverfahren durchlaufen und internes Fachwissen von Grund auf aufbauen müssen.

Die CIS unterstützt das Multi-State Information Sharing and Analysis Center (MS-ISAC), das seit 2003 als primäres Netzwerk für den Austausch von Bedrohungsinformationen für Kommunalverwaltungen in allen 50 Bundesstaaten dient und Echtzeit-Informationen zu Cyberbedrohungen, Warnmeldungen und Strategien zur Risikominderung bereitstellt.

Das Programm wird seit langem als eine der erfolgreichsten öffentlich-privaten Partnerschaften im Bereich der Cybersicherheit gelobt.

John Gilligan, Präsident und CEO von CIS, äußerte sich enttäuscht über die Kürzung der Mittel: „Das von CIS betriebene MS-ISAC ist die erfolgreichste öffentlich-private Partnerschaft dieses Landes. Obwohl wir von dieser Entscheidung enttäuscht sind, bleibt CIS als gemeinnützige und überparteiliche Organisation der SLTT-Gemeinschaft weiterhin verpflichtet.“

Teil umfassender Kürzungen

Die aktuelle Kürzung ist die jüngste in einer Reihe von Kürzungen durch das Heimatschutzministerium und die CISA, die bei Experten für Cybersicherheit und Wahlsicherheit Alarm ausgelöst haben.

Im Februar 2025 kürzte das DHS die Mittel für das Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), ein weiteres von CIS betriebenes Programm, das eine wichtige Rolle bei der Beratung von Wahlbeamten und Anbietern von Wahlsystemen zu Cyber-Bedrohungen spielte.

Im März wurden im Rahmen von Kürzungen des Bundeshaushalts 10 Millionen Dollar aus den Mitteln des MS-ISAC gestrichen, was dessen Betrieb bereits vor der in dieser Woche angekündigten vollständigen Streichung der Mittel destabilisierte.

Diese Veränderungen haben lokale und staatliche Beamte dazu veranlasst, sich zu fragen, wie sie angesichts wachsender Bedrohungen die Cybersicherheit aufrechterhalten können.

„Woher sollen wir diese Informationen beziehen, und wie sollen die Bundesstaaten kommunizieren, wenn sie ein Cyberproblem in Oregon feststellen – wie sollen sie Michigan darüber informieren, dass dies geschieht?”, fragte Tina Barton, eine leitende Wahlexpertin bei The Elections Group.

Es wird weiter gehen

Im April 2025 wurden dem CVE-Programm von MITRE die Mittel gekürzt: Die Cybersecurity and Infrastructure Security Agency (CISA), eine Abteilung des Department of Homeland Security hatte den Vertrag zur Finanzierung von Entwicklung, Betrieb und Modernisierung des CVE- und mehrerer anderer verwandter Programme nicht verlängert.

Aufgrund großer Befürchtungen ob der zu erwartenden weltweiten Beeinträchtigungen bei der Pflege von Schwachstellendatenbanken, Sicherheitstools sowie Mitigationsmaßnahmen verlängerte CISA zwar die Zusammenarbeit. Aber es hätte auch anders kommen können. Es war nicht das erste Mal, dass so etwas passiert. Das DHS war weder der erste Sponsor des Programms noch wird es der letzte bleiben.

Auch für CIS wird es weitergehen. Es wird neue Partner geben und andere Sponsoren werden in das Programm investieren. Schon jetzt zählen große Organisationen wie Akamai oder AWS zu den Unterstützern der Organisation.

Vorübergehend will CIS die Betriebskosten aus eigenen Rücklagen decken, warnte jedoch, dass die aktuelle Situation finanziell nicht tragbar sei. Um die Kontinuität aufrechtzuerhalten, strebt CIS ein neues, mitgliederbasiertes Finanzierungsmodell an, das eine Gebührenstruktur für Nicht-Kernangebote vorsieht.

Seit heute müssen Mitglieder eine Gebühr entrichten, um weiter von den Vorteilen des EI-ISAC-Programms zu profitieren, das wohl als Teil des Multi-State Information Sharing and Analysis Center (MS-ISAC) weitergeführt wird.

CIS hat davor gewarnt, dass es während der Übergangsphase aufgrund von Prioritätsverschiebungen und Ressourcenengpässen zu möglichen Dienstunterbrechungen kommen könnte.

Und in Deutschland?

Ein direktes Pendant zu CIS gibt es in Deutschland nicht. Das Äquivalent als nationale Cyber-Sicherheitsbehörde und zentraler Ansprechpartner für Fragen der IT-Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das BSI wird durch den Bundeshaushalt finanziert. In den letzten Jahren mussten Haushaltsmittel für das BSI immer wieder erhöht werden. Für 2026 stieg der Etat für das BSI auf die Rekordsumme von 379 Millionen Euro. 2025 musste die Behörde noch mit 231 Millionen Euro auskommen.

Private Partnerschaften wie beim CIS pflegt das BSI nicht. Für bestimmte Leistungen wie Zertifizierungen und Zertifikate nach Common Criteria (CC EAL) oder Begutachtungen und Revisionen kann das BSI jedoch Gebühren erheben.

Die Auswirkungen könnten jedoch anderweitig spürbar werden. Das CIS veröffentlicht die bekannten CIS-Benchmarks und CIS-Controls zur sicheren Konfiguration von IT-Systemen. Diese werden weltweit oft als Grundlage für IT-Sicherheitsmaßnahmen und Audits genutzt, auch in Deutschland. Hier bleibt abzuwarten, wie sich die internationale Cybersicherheitsgemeinschaft aufstellt.

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.