Hersteller verpflichten sich zu Secure by Design

B2B Cyber Security ShortNews

Beitrag teilen

Secure by Design ist eine Aktion der amerikanische Cybersecurity and Infrastructure Security Agency – kurz CISA. Dabei verpflichten sich Security Hersteller für mehr Sicherheit in ihren Produkte und die CISA wird das nach einem Jahr bereits prüfen und veröffentlichen. Wer sich verpflichtet gibt mehr ab als ein Versprechen – fast 100 Unternehmen machen bereits mit.  

Bei Secure by Design handelt es sich um eine freiwillige Selbstverpflichtung, die sich auf Unternehmenssoftwareprodukte und -dienste konzentriert, darunter On-Premise-Software, Cloud-Dienste und Software as a Service (SaaS). Physische Produkte wie IoT-Geräte und Verbraucherprodukte fallen nicht in den Geltungsbereich der Selbstverpflichtung, aber Unternehmen können trotzdem daran teilnehmen.

Selbstverpflichtung mit Abschlussprüfung

Mit der Teilnahme an der Selbstverpflichtung verpflichten sich Softwarehersteller, im nächsten Jahr ernsthafte Anstrengungen zu unternehmen, um die Ziele zu erreichen. Falls ein Softwarehersteller messbare Fortschritte in Richtung eines Ziels erzielen kann, sollte er innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung öffentlich dokumentieren, wie er diese Fortschritte erzielt hat. Falls der Softwarehersteller keine messbaren Fortschritte erzielen kann, wird er aufgefordert, innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung CISA mitzuteilen, wie er auf das Ziel hingearbeitet hat und welche Herausforderungen er dabei bewältigt hat. 

Die Selbstverpflichtung ist in sieben Ziele gegliedert. Jedes Ziel umfasst die Kernkriterien, auf die sich die Hersteller zu konzentrieren verpflichten, sowie Kontext und Beispielansätze zur Zielerreichung und zum Nachweis messbarer Fortschritte.

Die 7 Ziele der Selbstverpflichtung für Secure by Design

Multi-Faktor-Authentifizierung (MFA)

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung nachweisen, dass Maßnahmen ergriffen wurden, um die Nutzung der Multi-Faktor-Authentifizierung bei allen Produkten des Herstellers messbar zu erhöhen.

Standardkennwörter

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung messbare Fortschritte bei der Reduzierung der Standardkennwörter in allen Produkten der Hersteller nachweisen.

Reduzierung ganzer Schwachstellenklassen

Zeigen Sie innerhalb eines Jahres nach Unterzeichnung der Verpflichtung, dass Sie Maßnahmen ergriffen haben, die zu einer signifikanten, messbaren Verringerung der Häufigkeit einer oder mehrerer Schwachstellenklassen in den Produkten des Herstellers geführt haben.

Sicherheitspatches

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung nachweisen, dass Maßnahmen ergriffen wurden, um die Installation von Sicherheitspatches durch Kunden messbar zu erhöhen.

Richtlinie zur Offenlegung von Sicherheitslücken

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung eine Richtlinie zur Offenlegung von Sicherheitslücken (VDP) veröffentlichen

CVEs

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung Transparenz bei der Berichterstattung über Schwachstellen zeigen

Beweise für Einbrüche

Innerhalb eines Jahres nach Unterzeichnung der Verpflichtungserklärung soll eine messbare Verbesserung der Fähigkeit der Kunden nachgewiesen werden, Beweise für Cybersicherheitsverletzungen zu sammeln, die die Produkte des Herstellers beeinträchtigen.

Mehr bei CISA.gov

 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen