S E C U R I T Y
Professionelle Behandlung von Sicherheitsvorfällen
Im Dezember 2021 gab es einen berühmten Sicherheitsvorfall , bekannt als „ Log4Shell “, der gezeigt hat , wie wichtig es ist , rechtzeitig und strukturiert auf Sicherheitsvorfälle reagieren zu können .
Bei Log4Shell handelt es sich um eine kritische Schwachstelle mit der maximalen Bewertung ( CVSS 10.0 ) in der Log4j-Bibliothek der Apache Software Foundation , die von sehr vielen Firmen weltweit verwendet wird .
Die Hauptprodukte von Wibu-Systems ( Code- Meter Runtime und SDK , CodeMeter Protection Suite , CodeMeter License Central , CmCloud und WibuKey ) waren davon nicht betroffen . Lediglich die Produkte „ CodeMeter Keyring for TIA Portal “ und „ CodeMeter Cloud Lite “ mussten aktualisiert werden .
Wie hat Wibu-Systems auf Log4Shell reagiert ? Und wie reagiert Wibu-Systems generell , wenn Schwachstellen in Drittanbieter-Komponenten oder in eigenen Produkten gefunden werden , trotz umgesetzter Prozesse für sichere Softwareentwicklung ?
Um diese Fragen zu beantworten , wird der Security-Incident-Prozess bei Wibu-Systems hier kurz beschrieben :
1 . Meldung einer Schwachstelle
Es gibt zwei Arten von Meldungen :
■ Interne Meldungen : Informationen aus internen Scans , automatisierten Code- Analysen und anderen Sicherheitsanalysen werden als Sicherheitsfall direkt im internen Trackingsystem angelegt .
2 . Analyse Die erhaltenen Informationen werden dann zur Analyse an ein spezielles Product Security Incident Response Team ( PSIRT ) weitergegeben . Dieses Team besteht derzeit aus vier Sicherheitsexperten . Das PSIRT , auch bekannt als Wibu-CERT ( Computer Emergency Response Team ), koordiniert und unterstützt die Analyse der Schwachstelle durch das Product Security Board ( Gruppe von Sicherheitsspezialisten aus den verschiedenen Entwicklerteams ).
Für jedes betroffene Produkt wird eine Bewertung nach dem Industriestandard CVSS ( Common Vulnerability Scoring System ) erstellt , um die Gefährdungslage des Sicherheitsvorfalls einzustufen . Dabei werden geeignete Maßnahmen definiert .
3 . Behandlung Diese Phase besteht aus zwei parallelen Aufgaben :
■ Behebung : Sofern sich das Gefährdungspotential eines gemeldeten Sicherheitsvorfalls bei der Untersuchung bestätigt , werden im Trackingsystem der Software-
entwicklung entsprechende Einträge eröffnet . Diese Einträge werden speziell markiert und dann in Abhängigkeit der Schwere entweder im Rahmen der weiteren Produktentwicklung zu einem anstehenden Release oder in einem kurzfristigen Bugfix-Release bearbeitet .
■ Koordinierte Kommunikation : Die Bewertung wird dem Melder zur Verfügung gestellt und ggf . mit ihm weiter abgestimmt .
Der CERT-Verteiler wird verwendet , um Kunden im Voraus über die Schwachstelle und über anstehende Bugfixes zu informieren . Dieser Vorsprung ist wichtig für die Kunden , damit sie ggf . ihre eigenen Security Advisories vorbereiten und mögliche Fixes testen können , bevor die Schwachstelle veröffentlich wird .
4 . Veröffentlichung Security Advisories werden unter
https :// wibu . com / security-advisories zur Verfügung gestellt . Ein „ Tech News Flash “ wird per E-Mail an Kunden , Anwender , Distributoren und Behörden per E-Mail mit Informationen über die Schwachstelle und über Security Bugfixes geschickt .
Dieser Security-Incident-Prozess sorgt dafür , dass Wibu-Systems möglichst schnell reagieren und eine Lösung für alle Kunden und Anwender bereitstellen kann . Ein ehrlicher , offener Umgang mit Sicherheitsvorfällen ist in jedem Fall der richtige Weg .
15