Newsletter heise-Bot heise-Bot

Selbstverpflichtung: Über 60 Hersteller geloben, "Secure by Design" zu werden

Neben Verbesserungen wie Zweifaktor-Authentifizierung müssen Unterzeichner binnen Jahresfrist auch ihr Software und Patchmanagement verbessern.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Die US-Cybersicherheitsbehörde CISA legt in ihrem Bestreben, die Sicherheitsstandards in unternehmenstauglicher Software zu verbessern, nach: Unter dem Titel "Secure by Design Pledge" hebt sie eine freiwillige Selbstverpflichtung für Hersteller aus der Taufe. Unternehmen, welche die Verpflichtung unterzeichnen, müssen innerhalb einer Zwölfmonatsfrist nach der Unterzeichnung Schritte durchführen, um ihre Produkte diesem Ziel näherzubringen. Eine rechtliche Bindungswirkung besteht jedoch nicht.

Bis dato haben 68 Unternehmen die Selbstverpflichtung abgegeben, darunter Cloud-Branchengrößen wie Amazon Web Services, Cloudflare oder Google. Durch Abwesenheit glänzen derweil Apple und Facebook-Mutterkonzern Meta. Einige weitere der Unterzeichner, wie etwa Microsoft, FortiNet, Cisco und Ivanti, hatten in jüngerer Vergangenheit mit argen Sicherheitsproblemen zu kämpfen und wurden von der CISA mit harschen Worten und Strafmaßnahmen belegt.

Nun darf es nicht bei Lippenbekenntnissen bleiben. Innerhalb eines Jahres nach Unterzeichnung der Verpflichtung ist jedes Unternehmen angehalten, in sieben Bereichen Maßnahmen umzusetzen. Sie sollen:

  1. Mehr-Faktor-Authentifizierung stärker umsetzen,
  2. Standardpasswörter wie "admin/password" durch sichere Alternativen ersetzen,
  3. Anfälligkeit für mindestens eine Klasse von Sicherheitslücken – etwa SQL Injection – in der kompletten Produktpalette senken,
  4. Eine deutliche Verbesserung bei der Installation von Sicherheitspatches durch Kunden erreichen,
  5. Eine Regelung zur Veröffentlichung von Sicherheitslücken (Vulnerability disclosure policy, VDP) erarbeiten,
  6. Veröffentlichte Sicherheitslücken zügig mit einer CVE-ID und relevanten Metadaten ausstatten und
  7. Das Sammeln von Informationen nach einem Sicherheitsvorfall – etwa durch Logs – erleichtern.

Auf der Projektseite zum "Secure by Design Pledge" führt die CISA Beispielmaßnahmen an, mit denen Unternehmen ihre Sicherheitsbemühungen anschieben können. Sie fordert Unterzeichner zudem auf, ihre Fortschritte öffentlich zu dokumentieren.

Die US-Cybersicherheitsbehörde bietet zum Prinzip "Secure by Design" (etwa: "Sicher ab Entwurf") umfangreiche Handreichungen an, etwa zur Eindämmung von SQL Injections und von Directory-Traversal-Lücken.

(cku)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot