USA: Secure by Design Pledge - 68 Softwareanbieter verpflichten sich

Table of Contents

Die amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat die „Secure by Design Pledge“ ins Leben gerufen. Die freiwillige Initiative zielt darauf ab, Softwarehersteller dazu zu bewegen, ihre Produkte von Grund auf sicherer zu gestalten (Security by Design). Das Versprechen ist speziell auf Enterprise-Softwareprodukte und Dienstleistungen ausgerichtet, einschließlich On-Premises-Software, Cloud-Services und Software as a Service (SaaS).

Die Initiative gliedert sich in sieben Hauptziele, wobei jedes Ziel detaillierte Kriterien und Beispiele für Ansätze zur Erreichung dieser Ziele enthält. Zu den herausragenden Zielen gehören die Einführung und Verbesserung der Mehrfaktorauthentifizierung (MFA), die Reduzierung von Standardpasswörtern, die Verringerung bestimmter Klassen von Sicherheitslücken, die Förderung der Installation von Sicherheitspatches, die Veröffentlichung einer Richtlinie zur Offenlegung von Schwachstellen und die Transparenz in der Berichterstattung über Schwachstellen.

Mehr Sicherheit durch Mehrfaktorauthentifizierung

Eines der primären Ziele ist es, innerhalb eines Jahres nach Unterzeichnung des Versprechens nachweisbare Maßnahmen zu ergreifen, um die Nutzung der Mehrfaktorauthentifizierung in den Produkten des Herstellers signifikant zu erhöhen. Die MFA gilt als eine der effektivsten Abwehrmaßnahmen gegen passwortbasierte Angriffe wie Credential Stuffing und Passwortdiebstahl. Hierzu könnten Hersteller MFA standardmäßig für Benutzer und Administratoren aktivieren und so genannte „Sicherheitsgurtsignale“ in ihren Produkten implementieren, um Nutzer zur Aktivierung der MFA zu bewegen.

Reduktion von Standardpasswörtern

Ein weiteres Ziel ist die Reduktion von Standardpasswörtern, die oft zu Sicherheitsverletzungen führen. Die Hersteller werden aufgefordert, einzigartige Passwörter für jede Instanz ihrer Produkte bereitzustellen oder den Benutzern zu ermöglichen, bei der Erstinstallation starke Passwörter zu erstellen. Darüber hinaus sollen Kampagnen oder Updates angeboten werden, die bestehende Installationen von Standardpasswörtern auf sicherere Authentifizierungsmechanismen umstellen.

Minimierung von Schwachstellen

Hersteller werden auch dazu angehalten, Maßnahmen zu ergreifen, um die Prävalenz bestimmter Klassen von Sicherheitslücken signifikant zu reduzieren. Dies könnte durch die konsequente Nutzung von parametrisierten Abfragen zur Verhinderung von SQL-Injektionen oder durch die Entwicklung einer Roadmap zur Nutzung von speichersicheren Sprachen erfolgen.

1touch.ioAkamaiAmazon Web Services
ApiiroArmisAutomox
BigIDBlackBerryBugcrowd
ChainguardCiscoClaroty
CloudflareCommvaultCrowdStrike
CybeatsDataMotionDrata
ElasticEmsisoftESET
EverfoxFinite StateForescout
FortinetGigamonGitHub
GitLabGoogleHewlett Packard Enterprise
HiddenLayerHPHuntress
IBMInfobloxInfoSec Global
IriusRiskIvantiKisi
KiteworksLasso SecurityLenovo
ManifestMicrosoftN-able
NetAppNetgearOkta
Palo Alto NetworksPangeaProofpoint
QualysRapid7Red Queen Dynamics
ResilienceRSASandboxAQ
SaviyntScale AISecureframe
SecureworksSecurinSecurity Compass
SentinelOneSocket SecuriySonatype
SophosTenableThreatQuotient
ThriveDXTideliftTrellix
Trend MicroVantaVeracode
Veritas Technologies LLCWizXage Security
XylemZscaler

Liste der Teilnehmer an der Initiative

Die „Secure by Design Pledge“ ist ein klares Bekenntnis hin zu einer umfassenderen und proaktiven Herangehensweise an Software-Sicherheit, die auf Best Practices und internationalen Standards basiert. Inwiefern es jedoch ohne rechtlichen Rahmen funktioniert, sei dahingestellt. Die Vergangenheit hat immer wieder gezeigt, dass ohne explizite Verpflichtung durch Gesetze die Steine kaum ins Rollen geraten und versteckte Mängel meist durch Hackerangriffe ans Licht kamen.

Related Posts

Überwachung vs. Datenschutz: Die Auswirkungen von Abschnitt 702

Von Sven Bagemihl, Regional Director CEMEA bei Logpoint Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 (RISAA) bewirkt eine erhebliche Ausweitung der inländischen Überwachung vor, die die umfangreichste seit dem Patriot Act darstellt.

Read More

Datenpanne bei Rekrutierungs-App des Europäischen Parlaments

Laut einem Bericht des Europamagazins euractiv.com hat das Europäische Parlament hat am Montag, den 6. Mai, eine interne Mitteilung über eine Datenpanne bei der Anwendung “PEOPLE” versendet, die für die Einstellung nicht-ständiger Mitarbeiter genutzt wird.

Read More

Sicherheitslücken im Paket-Tracking-System von GLS aufgedeckt

Bei einem Vortrag auf dem Winterkongress der Digitalen Gesellschaft Schweiz in Winterthur wurde ein Forschungsprojekt vorgestellt, das Schwachstellen in deutschen Paketverfolgungs-Websites untersucht. Nachdem bereits Sicherheitsprobleme bei DHL, DPD und UPS öffentlich gemacht wurden, stehen nun Erkenntnisse über GLS im Fokus.

Read More