KEYnote 37 Deutsch - Frühjahrsausgabe 2019 | Page 13

Q U A L I T Y Sicherheitsvorfälle Gerade bei Wibu-Systems wird Sicherheit groß geschrieben. Wir sind uns der Notwendigkeit bewusst, die strengen Qualitäts- und Sicherheitsstandards in unseren Produkten zu integrieren. Wir wissen, dass auch kleine Unregelmäßigkeiten, Fehler oder Fehlkonfigurationen schwerwiegende Auswirkungen haben können. Für diese seltenen Fälle haben wir ein Security Incident Response Team gebildet und einen Prozess entworfen, um eine schnelle und transparente Abarbeitung zu garantieren. Meldung Wenn ein Anwender oder Kunde von Wibu-Systems meint, einen sicherheitskritischen Fehler gefunden zu haben, kann er diesen dem Support von Wibu-Systems melden. Dazu kann er entweder per E-Mail an [email protected] Kontakt aufnehmen oder den gefundenen Fehler gleich im Incident Management System unter https://support.wibu.com erfassen. Für Sicherheitsvorfälle ist eine eigene Incident-Art vorgesehen (Security Incident). Wird diese aus- gewählt, so wird unabhängig vom kundenspe- zifischen Supportlevel eine kurze Reaktionszeit von zwei Stunden durch das System hinterlegt. Damit wird dieses Ticket zeitnah von einem Mitarbeiter des Supports untersucht und auf Vollständigkeit geprüft. derzeit aus drei Sicherheitsexperten. Unsere Sicherheitsexperten bewerten nach einem stan- dardisierten Verfahren die gemeldete Schwach- stelle und erstellen eine Beurteilung inklusive einer Bewertung nach dem Industriestandard CVSS (Common Vulnerability Scoring System). Hierbei wird eine Maßzahl zwischen 0.0 und 10.0 berechnet, welche die Gefährdungslage des Sicherheitsvorfalls von gering bis hoch ein- stuft. Mit den zusätzlich enthaltenen Angaben ist es anderen Sicherheitsspezialisten sofort möglich, die Gefährdungslage einzuordnen und für die betroffenen Systeme eine geeignete Maßnahme einzuleiten. eröffnet. Diese werden mit einem speziellen Tag versehen und dann in Abhängigkeit der Schwere entweder im Rahmen der weiteren Produktentwicklung zu einem anstehenden Release oder in einem kurzfristigen Bugfix- Release erledigt. Dieser Prozess sorgt dafür, dass wir möglichst schnell reagieren und eine Lösung für alle Kunden und Anwender bereitstellen können. Ein ehrlicher, offener Umgang mit Sicherheits- vorfällen ist in jedem Fall der richtige Weg. Die Bewertung wird dem Melder zur Verfügung gestellt und ggf. mit ihm weiter abgestimmt. Einstufung nach CVSS Behebung Das Ticket wird dann zur Bearbeitung an ein spezielles Security Incident Response Team weitergegeben. Dieses Team ist der Abteilung Corporate Technology zugeordnet und besteht Sofern sich das Gefährdungspotential eines gemeldeten Sicherheitsvorfalls bei der Unter- suchung bestätigt, werden im Trackingsystem der Softwareentwicklung entsprechende Einträge 13