Kategorien: Security
Professionelle Behandlung von Sicherheitsvorfällen
Im Dezember 2021 gab es einen berühmten Sicherheitsvorfall, bekannt als „Log4Shell“, der gezeigt hat, wie wichtig es ist, rechtzeitig und strukturiert auf Sicherheitsvorfälle reagieren zu können.
Bei Log4Shell handelt es sich um eine kritische Schwachstelle mit der maximalen Bewertung (CVSS 10.0) in der Log4j-Bibliothek der Apache Software Foundation, die von sehr vielen Firmen weltweit verwendet wird.
Die Hauptprodukte von Wibu-Systems (CodeMeter Runtime und SDK, CodeMeter Protection Suite, CodeMeter License Central, CmCloud und WibuKey) waren davon nicht betroffen. Lediglich die Produkte „CodeMeter Keyring for TIA Portal“ und „CodeMeter Cloud Lite“ mussten aktualisiert werden.
Wie hat Wibu-Systems auf Log4Shell reagiert? Und wie reagiert Wibu-Systems generell, wenn Schwachstellen in Drittanbieter-Komponenten oder in eigenen Produkten gefunden werden, trotz umgesetzter Prozesse für sichere Softwareentwicklung?
Um diese Fragen zu beantworten, wird der Security-Incident-Prozess bei Wibu-Systems hier kurz beschrieben:
1. Meldung einer Schwachstelle
Es gibt zwei Arten von Meldungen:
- Externe Meldungen: Informationen über die mögliche Schwachstelle können entweder per E-Mail an cert(at)wibu.com oder über das Incident Management System geschickt werden.
- Interne Meldungen: Informationen aus internen Scans, automatisierten Code-Analysen und anderen Sicherheitsanalysen werden als Sicherheitsfall direkt im internen Trackingsystem angelegt.
2. Analyse
Die erhaltenen Informationen werden dann zur Analyse an ein spezielles Product Security Incident Response Team (PSIRT) weitergegeben. Dieses Team besteht derzeit aus vier Sicherheitsexperten. Das PSIRT, auch bekannt als Wibu-CERT (Computer Emergency Response Team), koordiniert und unterstützt die Analyse der Schwachstelle durch das Product Security Board (Gruppe von Sicherheitsspezialisten aus den verschiedenen Entwicklerteams).
Für jedes betroffene Produkt wird eine Bewertung nach dem Industriestandard CVSS (Common Vulnerability Scoring System) erstellt, um die Gefährdungslage des Sicherheitsvorfalls einzustufen. Dabei werden geeignete Maßnahmen definiert.
3. Behandlung
Diese Phase besteht aus zwei parallelen Aufgaben:
- Behebung: Sofern sich das Gefährdungspotential eines gemeldeten Sicherheitsvorfalls bei der Untersuchung bestätigt, werden im Trackingsystem der Softwareentwicklung entsprechende Einträge eröffnet. Diese Einträge werden speziell markiert und dann in Abhängigkeit der Schwere entweder im Rahmen der weiteren Produktentwicklung zu einem anstehenden Release oder in einem kurzfristigen Bugfix-Release bearbeitet.
- Koordinierte Kommunikation: Die Bewertung wird dem Melder zur Verfügung gestellt und ggf. mit ihm weiter abgestimmt. Der CERT-Verteiler wird verwendet, um Kunden im Voraus über die Schwachstelle und über anstehende Bugfixes zu informieren. Dieser Vorsprung ist wichtig für die Kunden, damit sie ggf. ihre eigenen Security Advisories vorbereiten und mögliche Fixes testen können, bevor die Schwachstelle veröffentlich wird.
4. Veröffentlichung
Security Advisories sind online zur Verfügung gestellt. Ein „Tech News Flash“ wird per E-Mail an Kunden, Anwender, Distributoren und Behörden per E-Mail mit Informationen
über die Schwachstelle und über Security Bugfixes geschickt.
Dieser Security-Incident-Prozess sorgt dafür, dass Wibu-Systems möglichst schnell reagieren und eine Lösung für alle Kunden und Anwender bereitstellen kann. Ein ehrlicher, offener Umgang mit Sicherheitsvorfällen ist in jedem Fall der richtige Weg.
KEYnote 43 – Frühjahr-/Sommerausgabe 2022