Hinweise zu sicherem Softwaredesign und Phishing-Schutz von CISA & Co.
Die US-Sicherheitsbehörde CISA veröffentlicht mit internationalen Partnern je eine Handreichung zu sicherem Software-Entwurf und zur Phishing-Prävention.
(Bild: CISA / heise online)
Die amerikanische Cyber-Sicherheitsagentur CISA hat ihr Dokument zum Entwurf von Software nach dem Prinzip "Secure by Design" aktualisiert, das sie mit dem BSI und weiteren Partnerbehörden aus aller Welt herausgibt. Auch ein Leitfaden zur Phishing-Präventionen liegt jetzt vor, der in Kooperation mit der NSA, dem FBI und einer weiteren US-Behörde entstand. Zielgruppe beider Dokumente sind Organisationen, die ihre Informationssicherheit verbessern wollen.
Software-Sicherheit von Anfang an
Der ursprünglich im April 2023 veröffentlichte Leitfaden fordert Softwarehersteller auf, ihre Entwurfs- und Entwicklungsprozesse zu überarbeiten und auf das Prinzip "Secure by Design" umzustellen. Nur im Auslieferungszustand sichere Software solle noch an Kunden abgegeben werden, wünschen sich CISA, BSI und Konsorten.
In der Aktualisierung des Papiers finden sich detailliertere Ausführungen zu drei Kernprinzipien.
- So sollen Softwarehersteller Verantwortung für Sicherheitsereignisse bei ihren Kunden übernehmen – etwa bei einem durch ihre Software verursachten Datenleck.
- Außerdem sieht die CISA in offener und reichlicher Kommunikation zu Sicherheitsthemen ein gutes Mittel für Hersteller, sich vom Wettbewerb abzuheben – frei nach dem Motto "tue Gutes und rede darüber". Dazu zählt jedoch auch, mit Sicherheitslücken offen umzugehen und die Zuverlässigkeit von CVEs sicherzustellen; hier gab es in jüngster Vergangenheit einige Kritik.
- Die dritte Kernaussage des CISA-Leitfadens richtet sich an Manager: Sie sollen der Sicherheit der von ihnen verantworteten Produkte die nötige Priorität einräumen.
Ihre Forderungen unterfüttert die US-amerikanische Cybersicherheitsbehörde mit konkreten Tipps und Checklisten, die das gut dreißigseitige PDF füllen.
Das Phishing-Übel an der Wurzel packen
Mit einem konkreten Sicherheitsproblem beschäftigt sich auch der zweite jüngst veröffentlichte Leitfaden. Im Kampf gegen Phishing geben CISA, NSA und FBI Handlungsempfehlungen für Organisationen – besonders solche, die sich keine eigenen Mitarbeiter für die Phishing-Abwehr leisten können. Neben technischen Maßnahmen wie Domain-based Message Authentication, Reporting and Conformance (DMARC), Monitoring und Multifaktor-Authentifizierung (MFA) steht – wenig überraschend – die Schulung der Endanwender im Vordergrund.
Admins und Sicherheitsverantwortliche können die Checklisten in der PDF-Version des Anti-Phishing-Handbuchs abarbeiten, um ihre Organisation besser für den Ernstfall zu wappnen.
(cku)
