Die amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat die „Secure by Design Pledge“ ins Leben gerufen. Die freiwillige Initiative zielt darauf ab, Softwarehersteller dazu zu bewegen, ihre Produkte von Grund auf sicherer zu gestalten (Security by Design). Das Versprechen ist speziell auf Enterprise-Softwareprodukte und Dienstleistungen ausgerichtet, einschließlich On-Premises-Software, Cloud-Services und Software as a Service (SaaS).
Die Initiative gliedert sich in sieben Hauptziele, wobei jedes Ziel detaillierte Kriterien und Beispiele für Ansätze zur Erreichung dieser Ziele enthält. Zu den herausragenden Zielen gehören die Einführung und Verbesserung der Mehrfaktorauthentifizierung (MFA), die Reduzierung von Standardpasswörtern, die Verringerung bestimmter Klassen von Sicherheitslücken, die Förderung der Installation von Sicherheitspatches, die Veröffentlichung einer Richtlinie zur Offenlegung von Schwachstellen und die Transparenz in der Berichterstattung über Schwachstellen.
Mehr Sicherheit durch Mehrfaktorauthentifizierung
Eines der primären Ziele ist es, innerhalb eines Jahres nach Unterzeichnung des Versprechens nachweisbare Maßnahmen zu ergreifen, um die Nutzung der Mehrfaktorauthentifizierung in den Produkten des Herstellers signifikant zu erhöhen. Die MFA gilt als eine der effektivsten Abwehrmaßnahmen gegen passwortbasierte Angriffe wie Credential Stuffing und Passwortdiebstahl. Hierzu könnten Hersteller MFA standardmäßig für Benutzer und Administratoren aktivieren und so genannte „Sicherheitsgurtsignale“ in ihren Produkten implementieren, um Nutzer zur Aktivierung der MFA zu bewegen.
Reduktion von Standardpasswörtern
Ein weiteres Ziel ist die Reduktion von Standardpasswörtern, die oft zu Sicherheitsverletzungen führen. Die Hersteller werden aufgefordert, einzigartige Passwörter für jede Instanz ihrer Produkte bereitzustellen oder den Benutzern zu ermöglichen, bei der Erstinstallation starke Passwörter zu erstellen. Darüber hinaus sollen Kampagnen oder Updates angeboten werden, die bestehende Installationen von Standardpasswörtern auf sicherere Authentifizierungsmechanismen umstellen.
Minimierung von Schwachstellen
Hersteller werden auch dazu angehalten, Maßnahmen zu ergreifen, um die Prävalenz bestimmter Klassen von Sicherheitslücken signifikant zu reduzieren. Dies könnte durch die konsequente Nutzung von parametrisierten Abfragen zur Verhinderung von SQL-Injektionen oder durch die Entwicklung einer Roadmap zur Nutzung von speichersicheren Sprachen erfolgen.
1touch.io | Akamai | Amazon Web Services |
Apiiro | Armis | Automox |
BigID | BlackBerry | Bugcrowd |
Chainguard | Cisco | Claroty |
Cloudflare | Commvault | CrowdStrike |
Cybeats | DataMotion | Drata |
Elastic | Emsisoft | ESET |
Everfox | Finite State | Forescout |
Fortinet | Gigamon | GitHub |
GitLab | Hewlett Packard Enterprise | |
HiddenLayer | HP | Huntress |
IBM | Infoblox | InfoSec Global |
IriusRisk | Ivanti | Kisi |
Kiteworks | Lasso Security | Lenovo |
Manifest | Microsoft | N-able |
NetApp | Netgear | Okta |
Palo Alto Networks | Pangea | Proofpoint |
Qualys | Rapid7 | Red Queen Dynamics |
Resilience | RSA | SandboxAQ |
Saviynt | Scale AI | Secureframe |
Secureworks | Securin | Security Compass |
SentinelOne | Socket Securiy | Sonatype |
Sophos | Tenable | ThreatQuotient |
ThriveDX | Tidelift | Trellix |
Trend Micro | Vanta | Veracode |
Veritas Technologies LLC | Wiz | Xage Security |
Xylem | Zscaler |
Die „Secure by Design Pledge“ ist ein klares Bekenntnis hin zu einer umfassenderen und proaktiven Herangehensweise an Software-Sicherheit, die auf Best Practices und internationalen Standards basiert. Inwiefern es jedoch ohne rechtlichen Rahmen funktioniert, sei dahingestellt. Die Vergangenheit hat immer wieder gezeigt, dass ohne explizite Verpflichtung durch Gesetze die Steine kaum ins Rollen geraten und versteckte Mängel meist durch Hackerangriffe ans Licht kamen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: