Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich eine neue Runde verbindlicher Richtlinien zur Cybersicherheit herausgegeben, die alle zivilen Bundesbehörden dazu auffordert, Edge-Netzwerkgeräte und -Software, deren Herstellerunterstützung eingestellt wurde, einschließlich veralteter Router, Firewalls, VPN-Gateways und Switches, umfassend zu untersuchen und zu entfernen. Regulierungsbehörden betonten, dass solche „End-of-Life“-Edge-Geräte zu einem der Haupteinfallstore für Hacker auf Landesebene geworden sind, um in Regierungsnetzwerke einzudringen, und dass innerhalb einer begrenzten Zeit Abhilfe geschaffen werden muss.

Das Dokument mit dem Titel „Binding Operational Directive 26-02“ wurde gemeinsam von CISA und dem Office of Management and Budget des Weißen Hauses herausgegeben. Ziel ist es, eine seit langem bestehende Schwachstelle im föderalen IT-System zu beheben: veraltete, nicht gepatchte Netzwerk-Perimeter-Infrastruktur. CISA stellt fest, dass sich die Angreifer bei vielen Angriffen nicht auf gestohlene Zugangsdaten oder Phishing-E-Mails verlassen, sondern zunächst nach älteren Routern und Firewalls suchen, die seit Jahren nicht mehr aktualisiert wurden und nicht mehr gewartet werden, um in Regierungsnetzwerke Fuß zu fassen.

Nach der neuen Richtlinie sind Bundesbehörden verpflichtet, Geräte, die sich noch im Supportzyklus des Herstellers befinden, sofort zu aktualisieren und alle Geräte, deren Support innerhalb von 12 Monaten beendet wurde, zu ersetzen. Innerhalb von drei Monaten nach dem Inkrafttreten der Richtlinie müssen die Behörden eine umfassende Bestandsaufnahme aller Edge-Geräte durchführen und angeben, bei welchen Geräten der Supportzeitraum des Herstellers abgelaufen ist. Im folgenden Jahr müssen die zuständigen Behörden diese „End-of-Service“-Geräte schrittweise aus dem Verkehr ziehen und gleichzeitig Ersatzpläne entwickeln, um zu verhindern, dass die neue Gerätecharge kurzfristig wieder in den Zustand außerhalb der Garantie gerät.

Die Richtlinie legt außerdem eine Frist von 18 Monaten fest, bis zu der alle nicht unterstützten Geräte vollständig aus den Netzen der Bundesregierung entfernt werden müssen. Um ein „Wiederaufleben“ zu verhindern, fordert das Dokument von den Behörden außerdem, einen Mechanismus zur kontinuierlichen Nachverfolgung einzurichten, um sicherzustellen, dass veraltete Geräte nach der Reinigung nicht stillschweigend wieder mit der Netzwerkumgebung verbunden werden.

Madhu Gottumukkala, amtierender Direktor von CISA, sagte, der Schritt sei sowohl „überfällig“ als auch „unvermeidlich“. Seit Jahren beobachtet CISA, wie Angreifer Netzwerkgeräte ausnutzen, die keine Sicherheitsupdates mehr erhalten, um in Regierungssysteme einzudringen, die bereits über moderne Endpunktschutzmaßnahmen verfügen. Nick Andersen, stellvertretender Direktor für Cybersicherheit bei CISA, wies außerdem darauf hin, dass sowohl staatlich geförderte Hackerorganisationen als auch gewinnorientierte Angriffsgruppen zunehmend auf solche alten Geräte abzielen und Schwachstellen in veralteter Firmware ausnutzen, um einzudringen. Sobald sie erfolgreich sind, können sie sich seitlich im Netzwerk bewegen, Daten stehlen oder in kritische Geschäftsabläufe eingreifen.

Das von CISA geführte Verzeichnis „Known Exploited Vulnerabilities“ hat mehrere Angriffe im Zusammenhang mit eingestellten Netzwerkgeräten dokumentiert, darunter eine im Dezember offengelegte Schwachstelle im Zusammenhang mit eingestellten D-Link-Routern. Die Behörde verwies außerdem auf einen China zugeschriebenen nationalstaatlichen Angriff im Jahr 2025, bei dem in großem Umfang ältere Netzwerkgeräte zur Durchführung von Cyberspionage genutzt wurden.

Während die Richtlinie für zivile Bundesbehörden verbindlich ist, sieht sie keine direkten finanziellen oder rechtlichen Strafen vor. CISA und das Office of Management and Budget werden durch Fortschrittsverfolgung und öffentliche Berichterstattung über die Leistung Druck ausüben, aber in der Praxis werden die Behörden häufig solche „gebündelten operativen Anweisungen“ wie Sicherheitsaufgaben mit hoher Priorität ausführen.

Um die Implementierungsbemühungen zu unterstützen, hat CISA eine interne „End-of-Service-Edge-Geräteliste“ mit Gerätemodellen erstellt, die häufig in Bundesumgebungen zu finden sind und deren Hersteller sich der Support-Lebensdauer ihres Herstellers nähert oder diese bereits überschritten hat. Aus Sicherheitsgründen wird diese Liste nicht veröffentlicht, um potenziellen Angreifern keine gezielten Hinweise zu geben. Für Behörden außerhalb des föderalen Verwaltungssystems – einschließlich staatlicher und lokaler Regierungen sowie privater Unternehmen – empfiehlt CISA, dass sie proaktiv mit Geräteherstellern kommunizieren, um die Supportzyklen und den Risikostatus der von ihnen verwendeten Geräte zu verstehen.