Q U A L I T Y
Sicherheitsvorfälle
Gerade bei Wibu-Systems wird Sicherheit groß geschrieben. Wir sind uns der Notwendigkeit bewusst, die strengen Qualitäts-
und Sicherheitsstandards in unseren Produkten zu integrieren. Wir wissen, dass auch kleine Unregelmäßigkeiten, Fehler oder
Fehlkonfigurationen schwerwiegende Auswirkungen haben können. Für diese seltenen Fälle haben wir ein Security Incident
Response Team gebildet und einen Prozess entworfen, um eine schnelle und transparente Abarbeitung zu garantieren.
Meldung
Wenn ein Anwender oder Kunde von
Wibu-Systems meint, einen sicherheitskritischen
Fehler gefunden zu haben, kann er diesen dem
Support von Wibu-Systems melden. Dazu kann
er entweder per E-Mail an [email protected]
Kontakt aufnehmen oder den gefundenen
Fehler gleich im Incident Management System
unter https://support.wibu.com erfassen. Für
Sicherheitsvorfälle ist eine eigene Incident-Art
vorgesehen (Security Incident). Wird diese aus-
gewählt, so wird unabhängig vom kundenspe-
zifischen Supportlevel eine kurze Reaktionszeit
von zwei Stunden durch das System hinterlegt.
Damit wird dieses Ticket zeitnah von einem
Mitarbeiter des Supports untersucht und auf
Vollständigkeit geprüft.
derzeit aus drei Sicherheitsexperten. Unsere
Sicherheitsexperten bewerten nach einem stan-
dardisierten Verfahren die gemeldete Schwach-
stelle und erstellen eine Beurteilung inklusive
einer Bewertung nach dem Industriestandard
CVSS (Common Vulnerability Scoring System).
Hierbei wird eine Maßzahl zwischen 0.0 und
10.0 berechnet, welche die Gefährdungslage
des Sicherheitsvorfalls von gering bis hoch ein-
stuft. Mit den zusätzlich enthaltenen Angaben
ist es anderen Sicherheitsspezialisten sofort
möglich, die Gefährdungslage einzuordnen
und für die betroffenen Systeme eine geeignete
Maßnahme einzuleiten.
eröffnet. Diese werden mit einem speziellen
Tag versehen und dann in Abhängigkeit der
Schwere entweder im Rahmen der weiteren
Produktentwicklung zu einem anstehenden
Release oder in einem kurzfristigen Bugfix-
Release erledigt.
Dieser Prozess sorgt dafür, dass wir möglichst
schnell reagieren und eine Lösung für alle
Kunden und Anwender bereitstellen können.
Ein ehrlicher, offener Umgang mit Sicherheits-
vorfällen ist in jedem Fall der richtige Weg.
Die Bewertung wird dem Melder zur Verfügung
gestellt und ggf. mit ihm weiter abgestimmt.
Einstufung nach CVSS Behebung
Das Ticket wird dann zur Bearbeitung an ein
spezielles Security Incident Response Team
weitergegeben. Dieses Team ist der Abteilung
Corporate Technology zugeordnet und besteht Sofern sich das Gefährdungspotential eines
gemeldeten Sicherheitsvorfalls bei der Unter-
suchung bestätigt, werden im Trackingsystem der
Softwareentwicklung entsprechende Einträge
13