CISAs Missmanagement bei Cybersicherheitsbindung verschwendet Millionen

Ein neuer Prüfbericht deckt CISAs Missmanagement bei der Cybersicherheitsbindung auf. Das Office of the Inspector General (OIG) stellte fest, dass die Cybersecurity and Infrastructure Security Agency Millionen Dollar aus ihrem Anreizprogramm zur Mitarbeiterbindung im Bereich Cybersicherheit missbrauchte. Zwischen 2020 und 2024 versäumte es CISA, Anspruchsregeln durchzusetzen, erlaubte unzulässige Zahlungen und führte die erforderlichen Aufzeichnungen nicht. Diese Versäumnisse verschwendeten Steuergelder und untergruben den Zweck des Programms: die Bindung von für die Mission kritischem Cybersicherheitspersonal.

Wie das Programm scheiterte

Das OIG stellte fest, dass CISA Bindungsanreize in Höhe von 21.000–25.000 Dollar jährlich an Mitarbeiter gewährte, die nicht qualifiziert waren. In einer Gehaltsperiode 2024 hatten 240 von 3.220 Mitarbeitern, die Anreize erhielten, Positionen ohne Bezug zur Cybersicherheit. Dies verstieß gegen die Programmregeln.

Der Bericht stellte außerdem 1,41 Millionen Dollar an unzulässigen Nachzahlungen an 348 Mitarbeiter fest. Die Aufzeichnungen von CISA waren unvollständig, und das Office of the Chief Human Capital Officer stellte nicht sicher, dass Zahlungen den Anforderungen entsprachen.

Warum Missmanagement wichtig ist

Das Bindungsprogramm sollte die besten Cybersicherheitsexperten bei CISA halten und sicherstellen, dass die Behörde auf sich entwickelnde Bedrohungen reagieren kann. Missmanagement hat zwei wesentliche Folgen:

• Steuergelder werden verschwendet, was das Vertrauen in staatliche Ausgaben untergräbt.
• Die Verteidigungsfähigkeit gegen Cyberbedrohungen wird geschwächt, da Anreize an nicht qualifiziertes Personal gehen, anstatt an kritische Cybersicherheitstalente.

Das OIG kam zu dem Schluss, dass dieser Missbrauch die Fähigkeit von CISA untergrub, seine nationale Sicherheitsmission zu erfüllen.

Empfehlungen des Prüfers

Das OIG gab mehrere Korrekturmaßnahmen vor, die CISA umzusetzen zusagte:

• Klare Anspruchsregeln für Bindungsanreize definieren.
• Zahlungen auf qualifizierte Cybersicherheitspositionen beschränken.
• Die Aufzeichnungen verbessern, um Zahlungen zu dokumentieren und nachzuverfolgen.
• Unzulässige Nachzahlungen beheben und zukünftige Verstöße verhindern.

Fazit

Die Ergebnisse zum Missmanagement der Cybersicherheitsbindung bei CISA verdeutlichen die Risiken schwacher Aufsicht. Durch die Fehlverwendung von Mitteln und das Versäumnis, Anspruchsregeln durchzusetzen, verschwendete CISA Millionen und gefährdete seine Mission. Die Einführung strenger Regeln, stärkerer Verantwortlichkeit und besserer Aufzeichnungen wird entscheidend sein, um Vertrauen wiederherzustellen und die nationale Cybersicherheit zu schützen.