Dokument zur Verbesserung der Software-Sicherheit aktualisiert
Die amerikanische Cyber-Sicherheitsagentur CISA hat in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und anderen Partnerbehörden aus verschiedenen Ländern ein aktualisiertes Dokument herausgegeben. Der Fokus liegt dabei auf dem Entwurf von Software nach dem Prinzip „Secure by Design“. Zusätzlich wurde ein Leitfaden zur Verhinderung von Phishing entwickelt, der in Zusammenarbeit mit der NSA, dem FBI und einer weiteren US-Behörde entstanden ist. Beide Dokumente richten sich an Organisationen, die ihre Informationssicherheit stärken möchten.
Ursprünglich im April 2023 veröffentlicht, fordert der Leitfaden Softwarehersteller auf, ihre Entwurfs- und Entwicklungsprozesse zu überarbeiten und auf das Prinzip „Secure by Design“ umzustellen. CISA, BSI und ihre Partnerbehörden haben das Ziel, dass nur noch sichere Software in ihrem ursprünglichen Zustand an Kunden ausgeliefert wird. Die Aktualisierung des Papiers enthält nun ausführlichere Erklärungen zu drei Kernprinzipien. Damit sollen Softwarehersteller die Verantwortung für Sicherheitsvorfälle bei ihren Kunden übernehmen, beispielsweise wenn es zu einem Datenleck kommt, das durch ihre Software verursacht wurde.
Die CISA betrachtet offene und umfangreiche Kommunikation über Sicherheitsthemen als wirksames Mittel für Hersteller, um sich vom Wettbewerb abzuheben – im Sinne des Mottos „Tue Gutes und rede darüber“. Dazu gehört auch der offene Umgang mit Sicherheitslücken und die Gewährleistung der Zuverlässigkeit von CVEs. Allerdings gab es in jüngster Vergangenheit auch Kritik in diesem Bereich.
Die dritte Hauptbotschaft des Leitfadens richtet sich an Manager und fordert sie auf, der Sicherheit der von ihnen verantworteten Produkte die angemessene Priorität einzuräumen. Die US-amerikanische Cybersicherheitsbehörde unterstützt ihre Forderungen mit praktischen Ratschlägen und Checklisten, die in dem umfangreichen 30-seitigen PDF-Dokument enthalten sind.
Ein weiterer kürzlich veröffentlichter Leitfaden befasst sich ebenfalls mit einem spezifischen Sicherheitsproblem. CISA, NSA und FBI stellen Handlungsempfehlungen für Organisationen bereit, um im Kampf gegen Phishing zu unterstützen. Insbesondere werden dabei Organisationen angesprochen, die sich keine eigenen Mitarbeiter für die Abwehr von Phishing leisten können. Die Priorität liegt nicht überraschend auf der Schulung der Endanwender, ergänzt durch technische Maßnahmen wie Domain-based Message Authentication, Reporting and Conformance (DMARC), Monitoring und Multifaktor-Authentifizierung (MFA). Administratoren und Sicherheitsverantwortliche können die Checklisten in der PDF-Version des Anti-Phishing-Handbuchs nutzen, um ihre Organisation besser auf den Ernstfall vorzubereiten.
Schlagwörter: CyberSicherheit + Sichere Software + PhishingPrävention
Wie bewerten Sie den Schreibstil des Artikels?