Unter dem Banner der “Secure by Design Pledge” haben sich mehr als 60 große Unternehmen verpflichtet, ihre Softwareprodukte nach dem Prinzip “Secure by Design” zu optimieren. Diese Selbstverpflichtung, die von der US-amerikanischen Cybersicherheitsbehörde CISA initiiert wurde, stellt eine proaktive Anstrengung zur Erhöhung der Sicherheitsstandards in unternehmenskritischer Software dar.
Die Teilnehmer der Initiative haben sich verpflichtet, innerhalb von zwölf Monaten deutliche Fortschritte in sieben Bereichen zu erzielen:
- Verstärkter Einsatz von Multi-Faktor-Authentifizierung,
- Ersetzen von Standardpasswörtern durch sichere Alternativen,
- Verringerung der Anfälligkeit für gängige Schwachstellen wie SQL-Injections,
- Verbesserung der Installation von Sicherheitspatches durch die Kunden,
- Erstellung einer Richtlinie zur Veröffentlichung von Schwachstellen,
- Schnelle Zuordnung von CVE-IDs zu gemeldeten Schwachstellen,
- Erleichterung der Sammlung von Informationen nach Sicherheitsvorfällen.
Obwohl diese Verpflichtung ein wichtiger Schritt ist, bleibt sie freiwillig und rechtlich unverbindlich. Im Vergleich dazu verspricht der europäische Cyber Resilience Act (CRA) mit seinen regulatorischen Maßnahmen und möglichen Sanktionen bei Nichteinhaltung eine stärkere und verbindliche Wirkung auf die Industrie. Aufgrund der Größe des europäischen Binnenmarktes hat der CRA eine Vorbildwirkung, die auch amerikanische Unternehmen beeinflusst und so zu einem weltweit höheren Sicherheitsniveau beitragen kann.
Die Erfahrung zeigt, dass trotz der guten Absichten von Selbstverpflichtungen oft verbindliche Vorgaben notwendig sind, um eine breite und nachhaltige Umsetzung sicherer Praktiken zu gewährleisten. Die Zukunft der Cybersicherheit braucht sowohl freiwillige Initiativen als auch strenge Gesetze.
Mehr Informationen zur Selbstverpflichtung und den konkreten Maßnahmen gibt es hier: https://www.cisa.gov/securebydesign/pledge
Kommentar hinzufügen