Hersteller verpflichten sich zu Secure by Design

B2B Cyber Security ShortNews

Beitrag teilen

Secure by Design ist eine Aktion der amerikanische Cybersecurity and Infrastructure Security Agency – kurz CISA. Dabei verpflichten sich Security Hersteller für mehr Sicherheit in ihren Produkte und die CISA wird das nach einem Jahr bereits prüfen und veröffentlichen. Wer sich verpflichtet gibt mehr ab als ein Versprechen – fast 100 Unternehmen machen bereits mit.  

Bei Secure by Design handelt es sich um eine freiwillige Selbstverpflichtung, die sich auf Unternehmenssoftwareprodukte und -dienste konzentriert, darunter On-Premise-Software, Cloud-Dienste und Software as a Service (SaaS). Physische Produkte wie IoT-Geräte und Verbraucherprodukte fallen nicht in den Geltungsbereich der Selbstverpflichtung, aber Unternehmen können trotzdem daran teilnehmen.

Anzeige

Selbstverpflichtung mit Abschlussprüfung

Mit der Teilnahme an der Selbstverpflichtung verpflichten sich Softwarehersteller, im nächsten Jahr ernsthafte Anstrengungen zu unternehmen, um die Ziele zu erreichen. Falls ein Softwarehersteller messbare Fortschritte in Richtung eines Ziels erzielen kann, sollte er innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung öffentlich dokumentieren, wie er diese Fortschritte erzielt hat. Falls der Softwarehersteller keine messbaren Fortschritte erzielen kann, wird er aufgefordert, innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung CISA mitzuteilen, wie er auf das Ziel hingearbeitet hat und welche Herausforderungen er dabei bewältigt hat. 

Die Selbstverpflichtung ist in sieben Ziele gegliedert. Jedes Ziel umfasst die Kernkriterien, auf die sich die Hersteller zu konzentrieren verpflichten, sowie Kontext und Beispielansätze zur Zielerreichung und zum Nachweis messbarer Fortschritte.

Die 7 Ziele der Selbstverpflichtung für Secure by Design

Multi-Faktor-Authentifizierung (MFA)

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung nachweisen, dass Maßnahmen ergriffen wurden, um die Nutzung der Multi-Faktor-Authentifizierung bei allen Produkten des Herstellers messbar zu erhöhen.

Standardkennwörter

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung messbare Fortschritte bei der Reduzierung der Standardkennwörter in allen Produkten der Hersteller nachweisen.

Reduzierung ganzer Schwachstellenklassen

Zeigen Sie innerhalb eines Jahres nach Unterzeichnung der Verpflichtung, dass Sie Maßnahmen ergriffen haben, die zu einer signifikanten, messbaren Verringerung der Häufigkeit einer oder mehrerer Schwachstellenklassen in den Produkten des Herstellers geführt haben.

Sicherheitspatches

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung nachweisen, dass Maßnahmen ergriffen wurden, um die Installation von Sicherheitspatches durch Kunden messbar zu erhöhen.

Richtlinie zur Offenlegung von Sicherheitslücken

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung eine Richtlinie zur Offenlegung von Sicherheitslücken (VDP) veröffentlichen

CVEs

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung Transparenz bei der Berichterstattung über Schwachstellen zeigen

Beweise für Einbrüche

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung soll eine messbare Verbesserung der Fähigkeit der Kunden nachgewiesen werden, Beweise für Cybersicherheitsverletzungen zu sammeln, die die Produkte des Herstellers beeinträchtigen.

Mehr bei CISA.gov

 

Passende Artikel zum Thema

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen