Secure by Design ist eine Aktion der amerikanische Cybersecurity and Infrastructure Security Agency – kurz CISA. Dabei verpflichten sich Security Hersteller für mehr Sicherheit in ihren Produkte und die CISA wird das nach einem Jahr bereits prüfen und veröffentlichen. Wer sich verpflichtet gibt mehr ab als ein Versprechen – fast 100 Unternehmen machen bereits mit.
Bei Secure by Design handelt es sich um eine freiwillige Selbstverpflichtung, die sich auf Unternehmenssoftwareprodukte und -dienste konzentriert, darunter On-Premise-Software, Cloud-Dienste und Software as a Service (SaaS). Physische Produkte wie IoT-Geräte und Verbraucherprodukte fallen nicht in den Geltungsbereich der Selbstverpflichtung, aber Unternehmen können trotzdem daran teilnehmen.
Selbstverpflichtung mit Abschlussprüfung
Mit der Teilnahme an der Selbstverpflichtung verpflichten sich Softwarehersteller, im nächsten Jahr ernsthafte Anstrengungen zu unternehmen, um die Ziele zu erreichen. Falls ein Softwarehersteller messbare Fortschritte in Richtung eines Ziels erzielen kann, sollte er innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung öffentlich dokumentieren, wie er diese Fortschritte erzielt hat. Falls der Softwarehersteller keine messbaren Fortschritte erzielen kann, wird er aufgefordert, innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung CISA mitzuteilen, wie er auf das Ziel hingearbeitet hat und welche Herausforderungen er dabei bewältigt hat.
Die Selbstverpflichtung ist in sieben Ziele gegliedert. Jedes Ziel umfasst die Kernkriterien, auf die sich die Hersteller zu konzentrieren verpflichten, sowie Kontext und Beispielansätze zur Zielerreichung und zum Nachweis messbarer Fortschritte.
Die 7 Ziele der Selbstverpflichtung für Secure by Design
Multi-Faktor-Authentifizierung (MFA)
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung nachweisen, dass Maßnahmen ergriffen wurden, um die Nutzung der Multi-Faktor-Authentifizierung bei allen Produkten des Herstellers messbar zu erhöhen.
Standardkennwörter
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung messbare Fortschritte bei der Reduzierung der Standardkennwörter in allen Produkten der Hersteller nachweisen.
Reduzierung ganzer Schwachstellenklassen
Zeigen Sie innerhalb eines Jahres nach Unterzeichnung der Verpflichtung, dass Sie Maßnahmen ergriffen haben, die zu einer signifikanten, messbaren Verringerung der Häufigkeit einer oder mehrerer Schwachstellenklassen in den Produkten des Herstellers geführt haben.
Sicherheitspatches
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung nachweisen, dass Maßnahmen ergriffen wurden, um die Installation von Sicherheitspatches durch Kunden messbar zu erhöhen.
Richtlinie zur Offenlegung von Sicherheitslücken
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung eine Richtlinie zur Offenlegung von Sicherheitslücken (VDP) veröffentlichen
CVEs
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung Transparenz bei der Berichterstattung über Schwachstellen zeigen
Beweise für Einbrüche
Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung soll eine messbare Verbesserung der Fähigkeit der Kunden nachgewiesen werden, Beweise für Cybersicherheitsverletzungen zu sammeln, die die Produkte des Herstellers beeinträchtigen.
Mehr bei CISA.gov