PSIRTs befolgen Standards wie ISO/IEC 30111 und ISO/IEC 29147, um ihre Prozesse zur Handhabung und Offenlegung von Schwachstellen zu unterstützen. Diese Standards bieten einen strukturierten Ansatz zur Identifizierung, Analyse und Lösung von Sicherheitsproblemen in Produkten. Sie stellen sicher, dass die Reaktionen konsistent und effektiv sind und den internationalen Sicherheitsanforderungen entsprechen.
PSIRT oder Product Security Incident Response Team ist eine Gruppe innerhalb eines Unternehmens, die Sicherheitsvorfälle im Zusammenhang mit seinen Produkten oder Services bearbeitet und auf diese Vorfälle reagiert. Der Hauptzweck eines PSIRT besteht darin, Schwachstellen oder Bedrohungen, die sich auf die Sicherheit der Angebote des Unternehmens auswirken können, zu identifizieren, zu bewerten, zu priorisieren und entsprechende Maßnahmen einzuleiten.
Das Computer Security Incident Response Team (CSIRT) ist eine seit Langem bestehende Einrichtung von Abteilungen für Informationssicherheit. Das CSIRT, ein Expertenteam aus verschiedenen Bereichen eines Unternehmens, reagiert auf Sicherheitsvorfälle wie Datenschutzverletzungen. In den letzten Jahren haben Hersteller von Technologieprodukten eine eigene interne Version des CSIRT entwickelt, das als Product Security Incident Response Team (PSIRT) bekannt ist und auf Schwachstellen in den eigenen Produkten des Unternehmens reagiert. PSIRTs sind entstanden, da Technologieunternehmen erkennen, dass ihre Produkte oft eine Rolle bei den Sicherheitsvorfällen ihrer Kunden spielen. Sie versuchen, solche Vorfälle zu vermeiden oder ihre Auswirkungen zu minimieren.
Was ist ein PSIRT?
Ein PSIRT ist in der Regel eine Gruppe von Mitarbeitern, die manchmal durch Auftragnehmer und Berater ergänzt werden und sich auf die Identifizierung, Bewertung und Behebung von Sicherheitslücken in den Produkten des Unternehmens konzentrieren. Beispielsweise könnte das PSIRT eines Herstellers von Serversoftware feststellen, dass seine Firmware Code enthält, den Hacker ausnutzen können, um den Server zu übernehmen. Um diese Schwachstelle zu beheben, analysiert das PSIRT die Schwachstelle, findet einen sicheren Ersatz für den fraglichen Code und stellt ihn den Engineering-Teams zur Verfügung.
Organisatorisch gesehen befindet sich das PSIRT in der Regel innerhalb der Secure-Engineering-Organisation des Unternehmens. Dieser Ansatz stellt sicher, dass die Funktionen des PSIRT zum Secure Development Lifecycle (SDL) des Unternehmens beitragen. Das PSIRT kann sich auch an der Erfassung von Anforderungen und der Modellierung von Risiken beteiligen, wobei das Ziel ist, Sicherheit in das Produkt zu integrieren.
Warum ist ein PSIRT wichtig?
Führungskräfte und Produktmanager halten PSIRTs aus verschiedenen Gründen für wichtig. Ein effektives PSIRT sorgt zunächst einmal dafür, dass die Produktqualität steigt und weniger Sicherheitspatches erforderlich sind. Diese Ergebnisse senken nicht nur die Kosten, sondern stärken auch die Marke, da sie verhindern, dass Zweifel an der Sicherheit eines Produkts aufkommen.
Ein noch bedeutenderes Problem ist das zunehmende Bewusstsein, dass bestimmte Technologieprodukte erhebliche Risiken für Kunden mit sich bringen können. Der Hersteller eines IoT-Geräts möchte vermutlich nicht, dass sein Gerät die Ursache für einen Datenschutzvorfall bei einem Kunden ist. Ein solcher Vorfall kann peinlich und teuer sein, insbesondere wenn der Gerätehersteller nicht vorbereitet ist und nach Auftreten des Sicherheitslücke erst mühsam nach einer Lösung suchen muss. Wenn der Gerätehersteller über ein PSIRT verfügt, kann er das Risiko entweder ganz vermeiden oder zumindest darauf vorbereitet sein, umgehend und effektiv auf das Problem zu reagieren.
Komponenten eines PSIRT
Wie der Name schon sagt, ist ein PSIRT ein Team, daher sind seine wichtigste Komponente die Mitarbeiter. Die Mitglieder des PSIRT-Teams müssen über Kenntnisse und Erfahrung zu verschiedenen Aspekten der Cybersicherheit verfügen. Einige können Experten für Anwendungssicherheit sein. Andere haben möglicherweise Erfahrung mit Open-Source-Sicherheit usw. In einem großen Unternehmen kann das PSIRT ein spezialisiertes Vollzeitteam sein. In einem kleineren Unternehmen besteht das PSIRT möglicherweise aus einem kleinen Kernteam von Vollzeitmitarbeitern, das durch Personen ergänzt wird, die anderswo im Unternehmen arbeiten, aber je nach Bedarf bei der Vorfallsreaktion oder Schwachstellenanalyse mitwirken können.
Der Leiter des PSIRT ist für den Erfolg des Teams von großer Bedeutung. Die Person muss nicht nur eine gute Führungskraft sein, sondern auch Kompetenzen für die Erstellung von Richtlinien, Prozessen und Verfahren besitzen, die es dem PSIRT ermöglichen, seine Aufgabe zu erfüllen. Sie muss gut kommunizieren können und in der Handhabung the komplizierter organisatorischer Dynamiken, die die Produktsicherheit betreffen, versiert sein.
Hinzu kommt, dass das PSIRT-Team üblicherweise Verbindungen zu anderen Abteilungen wie Recht und Compliance hat. Hersteller von Avionik unterliegen beispielsweise FAA-Vorschriften zur Offenlegung von Schwachstellen in ihren Produkten. Das PSIRT ist in der Regel ein wichtiger Akteur in diesem Bereich der Compliance. Das PSIRT wird auch Kontakt zur Kommunikationsabteilung des Unternehmens haben, konkret etwa zum PR-Team, wenn es um die Bekanntgabe von Sicherheitsproblemen oder um Erklärungen zu Sicherheitsvorfällen in Kundenunternehmen geht.
Wie funktioniert ein PSIRT?
Ein gut geführtes PSIRT wird auf der Grundlage etablierter Richtlinien und Verfahren betrieben. Wie ein CSIRT versucht ein PSIRT stets, Schwachstellen in einer sicheren Umgebung zu reproduzieren. Basierend auf der wahrgenommenen Schwere der Schwachstelle und den zu erwartenden Auswirkungen auf das Produkt kann das PSIRT dann entscheiden, das Management zu informieren. Wenn das Management entscheidet, die Schwachstelle offenzulegen, arbeitet das PSIRT im Bekanntmachungsprozess mit relevanten Stakeholdern zusammen.
Das Team ermittelt dann eine Möglichkeit, die Sicherheitslücke zu schließen, und leitet einen Prozess zur Problembehebung ein. Dieser Prozess umfasst die Erstellung eines Behebungsplans in Zusammenarbeit mit Produktmanagement-Teams, die für das Produkt auf dem Markt verantwortlich sind.
In manchen Fällen erfährt das Unternehmen von einem Drittanbieter von einer Schwachstelle . In diesem Fall muss das PSIRT die Schwachstelle bewerten und Empfehlungen zur Reaktion abgeben. Wenn ein Gerät beispielsweise eine bestimmte Version des Linux-Betriebssystems verwendet und ein Bug-Hunting-Team in dieser Linux-Version einen Exploit findet, muss das PSIRT einen Plan für den Umgang mit dem Exploit ausarbeiten und die Kunden darüber informieren.
PSIRT und CSIRT im Vergleich
Obwohl ein CSIRT und ein PSIRT ähnliche Strukturen und Betriebsprozesse haben, sind ihre jeweiligen Schwerpunkte völlig unterschiedlich. Aufgabe des CSIRT ist es, die Sicherheit des Unternehmens zu stärken und seine Netzwerke, Anwendungen und Daten vor Cyberkriminellen zu schützen. Im Gegensatz dazu geht es beim PSIRT darum, die Produkte des Unternehmens zu schützen.
Best Practices für den Aufbau eines effektiven PSIRT
In den Technologieunternehmen kristallisieren sich Best Practices für den Aufbau eines effektiven PSIRT heraus. Einige beziehen sich auf Personal und Organisationsstruktur. So kann es sich bewähren, das PSIRT nicht als eigenständiges Team zu besetzen, sondern beim Aufbau auf eine Verteilung der Mitglieder auf verschiedene Gruppen wie Qualitätssicherung (QA), Sicherheitsbetrieb und Softwareentwicklung zu achten.
Ein PSIRT benötigt ein angemessenes Budget und geeignete Tools, um seine Aufgabe zu erfüllen. Es ist keine gute Idee, einfach davon auszugehen, dass das PSIRT mit der Technologie auskommt, die alle anderen verwenden. Ein PSIRT benötigt bestimmte IT-Ressourcen, um beispielsweise isolierte Testumgebungen zu erstellen. In vielen Fällen muss es spezielle Geräte beschaffen.
Auch die Schulung von Stakeholdern ist für PSIRTs Best Practice. Nicht alle Mitarbeiter und Führungskräfte haben ein intuitives Verständnis der Produktsicherheit. Die besten Ergebnisse werden erzielt, wenn die Mitarbeiter gut informiert und von der Mission des PSIRT überzeugt sind. Schulungs-Workshops das natürliche Produkt einer anderen bewährten Praxis: der Dokumentation der Richtlinien und Prozesse des PSIRT.
Weitere relevante Best Practices sind:
- Meldungen an externe Gruppen – Zusammenarbeit mit externen Entitäten, die Ihr Produkt betreffende Schwachstellen verfolgen. Unter Umständen haben Sie hier mit Leuten zu tun, die gerne Dinge kaputt machen und versteckte Probleme in einem Produkt finden. Das ist nicht unbedingt ein reines Vergnügen, aber eine gute Möglichkeit, Sicherheitslücken zu finden.
- Automatisierter Austausch von Erkenntnissen – andere Gruppen im Unternehmen in automatisierter Form auf Schwachstellen aufmerksam machen, sobald sie entdeckt werden. Die betreffenden Stakeholder haben möglicherweise Ideen zur Behebung und andere nützliche Informationen.
- Berücksichtigung öffentliche Quellen für Daten zu Schwachstellen und Bedrohungen – Abonnements für ISACs (Information Sharing and Analysis Centers) und Quellen wie GitHub.
Abwehr und Vorfallsreaktion: Best Practices für PSIRTs
Wenn eine Schwachstelle identifiziert wird, besteht die Hauptaufgabe eines PSIRT darin, an einer sofortigen Abwehr zu arbeiten und sicherzustellen, dass das Unternehmen effektiv auf die Bedrohung reagiert. Dieser Prozess umfasst eine detaillierte Analyse der Schwachstelle, die Ermittlung ihrer Auswirkungen auf die Produkte des Unternehmens und die Einleitung von Abhilfemaßnahmen.
Der Abwehrprozess orientiert sich an etablierten Sicherheitsstandards wie ISO/IEC 30111, die die Best Practices für den Umgang mit Sicherheitslücken in Produkten und Services beschreiben. Diese internationalen Standards stellen sicher, dass Unternehmen einen konsistenten und effizienten Ansatz für das Sicherheitsmanagement verfolgen und dass Sicherheitsprobleme behoben werden, bevor sie von Cyberkriminellen ausgenutzt werden können.
Ein PSIRT arbeitet auch eng mit anderen internen Teams zusammen, wie zum Beispiel Entwicklung und Qualitätssicherung. So ist gewährleistet, dass Patches oder Fehlerbehebungen schnell entwickelt und getestet werden. In Fällen, in denen eine Schwachstelle nicht sofort vollständig behoben werden kann, werden temporäre Abwehrstrategien – zum Beispiel Konfigurationsänderungen oder Aktualisierungen von Sicherheitseinstellungen – implementiert, um das Exploit-Risiko zu verringern.
Sobald der Abwehrprozess abgeschlossen ist, veröffentlichen PSIRTs in der Regel Schwachstellenberichte oder Hinweise, um Kunden und Partner über das Sicherheitsproblem zu informieren und klare Anweisungen zur Anwendung von Updates oder Sicherheitspatches zu geben. Das Team kann sich auch mit externen Stellen wie CERTs (Computer Emergency Response Teams) abstimmen, um Informationen über die Schwachstelle auszutauschen und sicherzustellen, dass sie branchenweit umfassend behoben wird.
Meldung von Schwachstellen und die Rolle von Sicherheitsforschern in PSIRTs
Ein wichtiger Faktor für den Erfolg eines PSIRT ist die effektive Zusammenarbeit mit der Sicherheitscommunity, einschließlich Sicherheitsforschern und externen Experten, die Schwachstellen erkennen und melden. Diese Zusammenarbeit umfasst häufig die Verwendung von CVE-Standards (Common Vulnerabilities and Exposures), die universelle Kennungen für Schwachstellen bereitstellen und die Kommunikation zwischen Forschern, Organisationen und Kunden vereinfachen.
Sicherheitsforscher spielen eine wichtige Rolle bei der Identifizierung von Sicherheitslücken, die während des Produktentwicklungszyklus möglicherweise nicht erkennbar sind. Wenn diese Fehler unentdeckt bleiben, können sie von böswilligen Hackern oder Cyberkriminellen ausgenutzt werden. Indem sie Schwachstellenberichte an PSIRTs übermitteln, bilden Forscher die erste Verteidigungslinie gegen die Ausnutzung von Sicherheitslücken in Produkten und Services.
Um diese Berichte zu unterstützen, verwenden PSIRTs sichere Kanäle wie PGP-Schlüssel, um die Vertraulichkeit der weitergegebenen Informationen zu gewährleisten. Die eingehenden Berichte werden dann vom PSIRT ausgewertet und eingestuft. Dabei werden Tools wie das Common Vulnerability Scoring System (CVSS) verwendet, um die Abwehrmaßnahmen basierend auf dem Schweregrad der identifizierten Schwachstellen zu priorisieren. Durch die Förderung einer offenen und sicheren Beziehung zu einer breiten Sicherheitscommunity können PSIRTs ihre Fähigkeit verbessern, effizient auf potenzielle Bedrohungen und Sicherheitsprobleme wie Malware zu reagieren.
Häufig gestellte Fragen (FAQ)
Ein PSIRT arbeitet mit Sicherheitsforschern zusammen, indem es von diesen Forschern vorgelegte Schwachstellenberichte empfängt und analysiert. Die Berichte, die häufig an CVE-Standards ausgerichtet sind, werden mithilfe von PGP-Schlüsseln sicher verarbeitet, sodass Vertraulichkeit gewährleistet ist. Das PSIRT bewertet dann die Schwachstelle, priorisiert Abwehrmaßnahmen mithilfe von Tools wie CVSS und kommuniziert sowohl mit dem Forscher als auch mit der Öffentlichkeit über die Lösung.
Common Vulnerabilities and Exposures (CVE) sind eindeutige Kennungen, die öffentlich bekannten Sicherheitslücken zuzuordnen sind. Ein CVSS-Score (Common Vulnerability Scoring System) quantifiziert den Schweregrad einer Schwachstelle basierend auf Faktoren wie Auswirkung, Ausnutzbarkeit und Komplexität. PSIRTs verwenden sowohl CVE-Kennungen als auch CVSS-Scores, um Schwachstellen effektiv zu kommunizieren und zu priorisieren.
Sobald eine Schwachstelle behoben wurde, gibt ein PSIRT das Problem über einen Schwachstellenbericht oder einen Sicherheitshinweis öffentlich bekannt. Dieser Bericht enthält Details zur Schwachstelle, die ergriffenen Abwehrmaßnahmen und alle erforderlichen Patches oder Updates. Das PSIRT kann auch den Sicherheitsforscher, der den Fehler entdeckt hat, würdigen, was in der Sicherheitscommunity die Motivation zur künftigen Zusammenarbeit stärkt.
Ein PSIRT spielt eine entscheidende Rolle beim Vorfallsmanagement. Sein Fokus richtet sich darauf, Schwachstellen schnell zu identifizieren und zu beseitigen, bevor sie ausgenutzt werden können. Dies umfasst die Koordination von Abhilfemaßnahmen mit internen Teams und die interne und externe Kommunikation. Ziel ist es, die Auswirkungen des Vorfalls auf Kunden und das Unternehmen zu minimieren.
Warum entscheiden sich Kunden für Akamai?
Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Bedrohungsinformationen und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.