Die US-Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat sich etwas Besonderes überlegt, um die Sicherheit von Unternehmenssoftware zu verbessern. Sie haben die Initiative “Secure by Design Pledge” ins Leben gerufen, bei der Hersteller freiwillig zusagen, ihre Software sicherer zu machen. Klingt gut, oder? Aber keine Sorge, es besteht keine rechtliche Verpflichtung. Also, wenn ein Hersteller keine Lust hat, sich zu engagieren, kann er einfach weitermachen wie bisher. Naja, immerhin ist es ein Anfang.
Bisher haben sich schon 68 Unternehmen der Verpflichtung angeschlossen. Darunter sind einige große Namen aus der Cloud-Branche wie Amazon Web Services, Cloudflare und Google. Aber Moment mal, wo sind eigentlich Apple und Facebook (oder sollte ich Meta sagen)? Die beiden sind nicht unter den Unterzeichnern vertreten. Vielleicht haben sie ihre eigenen Pläne oder sehen die Initiative einfach nicht als Priorität an. Wer weiß?
Es ist auch interessant zu erwähnen, dass einige Unternehmen, die in der Vergangenheit mit Sicherheitsproblemen zu kämpfen hatten, sich der Verpflichtung angeschlossen haben. Microsoft, FortiNet, Cisco und Ivanti wurden von der CISA bereits mit strengen Worten und Sanktionen bedacht. Vielleicht sehen sie die Initiative als Chance, ihr Image aufzupolieren und zu zeigen, dass sie es dieses Mal wirklich ernst meinen.
Die “Secure by Design Pledge” umfasst sieben konkrete Maßnahmen, die von den Unternehmen umgesetzt werden sollen. Dazu gehören unter anderem die verstärkte Nutzung der Mehr-Faktor-Authentifizierung, die Verwendung sicherer Passwörter anstelle der guten alten “admin/password”-Kombination und die Reduzierung von Sicherheitslücken wie SQL Injection. Klingt vernünftig, oder?
Aber damit nicht genug. Die Unternehmen sollen auch sicherstellen, dass ihre Kunden Sicherheitspatches schnell installieren können, eine Richtlinie zur Offenlegung von Sicherheitslücken entwickeln und veröffentlichte Sicherheitslücken mit allen relevanten Informationen versehen. Außerdem sollen sie das Sammeln von Informationen nach einem Sicherheitsvorfall erleichtern. Da weiß man gar nicht, ob man beeindruckt sein soll von all dem Engagement oder ob man sich fragen soll, warum das nicht schon längst Standard ist.
Die CISA stellt den Unternehmen auf der Projektseite der “Secure by Design Pledge” sogar Beispiele für konkrete Maßnahmen zur Verfügung. Das ist echt nett von ihnen. Und die Unterzeichner werden aufgefordert, ihre Fortschritte öffentlich zu protokollieren. Transparenz ist ja immer gut, oder?
Die CISA bietet auch umfangreiche Leitlinien zum Prinzip “Secure by Design” an, die Maßnahmen zur Bekämpfung von SQL-Injections und Directory-Traversal-Lücken beinhalten. Das ist wirklich hilfreich für die Unternehmen, um ihre Software besser gegen diese Art von Sicherheitslücken zu schützen. Die CISA tut wirklich alles, um ihre Initiative zu unterstützen.
Mit der “Secure by Design Pledge” setzt die CISA ein wichtiges Zeichen für die Verbesserung der Software-Sicherheit und den Schutz von Unternehmen vor Cyberangriffen. Es bleibt jedoch abzuwarten, wie ernst die Unternehmen die Initiative nehmen und ob sie tatsächlich die geforderten Maßnahmen umsetzen. Die öffentliche Protokollierung der Fortschritte wird dabei eine wichtige Rolle spielen, um sicherzustellen, dass die Unternehmen ihre Verpflichtung auch wirklich ernst nehmen. Wir werden sehen, wie sich die Initiative entwickelt und ob sie einen nachhaltigen Einfluss auf die Sicherheit von Unternehmenssoftware haben wird.
Schlagwörter: CISA + Amazon + Google
Wie bewerten Sie den Schreibstil des Artikels?