To top
Resources Resources

Kategorien: Security

Sicherheitsvorfälle

Gerade bei Wibu-Systems wird Sicherheit groß geschrieben. Wir sind uns der Notwendigkeit bewusst, die strengen Qualitäts- und Sicherheitsstandards in unseren Produkten zu integrieren. Wir wissen, dass auch kleine Unregelmäßigkeiten, Fehler oder Fehlkonfigurationen schwerwiegende Auswirkungen haben können. Für diese seltenen Fälle haben wir ein Security Incident Response Team gebildet und einen Prozess entworfen, um eine schnelle und transparente Abarbeitung zu garantieren.

Meldung

Wenn ein Anwender oder Kunde von Wibu-Systems meint, einen sicherheitskritischen Fehler gefunden zu haben, kann er diesen dem Support von Wibu-Systems melden. Dazu kann er entweder per E-Mail an support@wibu.com Kontakt aufnehmen oder den gefundenen Fehler gleich im Incident Management System unter support.wibu.com erfassen. Für Sicherheitsvorfälle ist eine eigene Incident-Art vorgesehen (Security Incident). Wird diese ausgewählt, so wird unabhängig vom kundenspezifischen Supportlevel eine kurze Reaktionszeit von zwei Stunden durch das System hinterlegt. Damit wird dieses Ticket zeitnah von einem Mitarbeiter des Supports untersucht und auf Vollständigkeit geprüft. 

Einstufung nach CVSS

Das Ticket wird dann zur Bearbeitung an ein spezielles Security Incident Response Team weitergegeben. Dieses Team ist der Abteilung Corporate Technology zugeordnet und besteht derzeit aus drei Sicherheitsexperten. Unsere Sicherheitsexperten bewerten nach einem standardisierten Verfahren die gemeldete Schwachstelle und erstellen eine Beurteilung inklusive einer Bewertung nach dem Industriestandard CVSS (Common Vulnerability Scoring System). Hierbei wird eine Maßzahl zwischen 0.0 und 10.0 berechnet, welche die Gefährdungslage des Sicherheitsvorfalls von gering bis hoch einstuft. Mit den zusätzlich enthaltenen Angaben ist es anderen Sicherheitsspezialisten sofort möglich, die Gefährdungslage einzuordnen und für die betroffenen Systeme eine geeignete Maßnahme einzuleiten.
Die Bewertung wird dem Melder zur Verfügung gestellt und ggf. mit ihm weiter abgestimmt.

Behebung

Sofern sich das Gefährdungspotential eines gemeldeten Sicherheitsvorfalls bei der Untersuchung bestätigt, werden im Trackingsystem der Softwareentwicklung entsprechende Einträge eröffnet. Diese werden mit einem speziellen Tag versehen und dann in Abhängigkeit der Schwere entweder im Rahmen der weiteren Produktentwicklung zu einem anstehenden Release oder in einem kurzfristigen Bugfix-Release erledigt. 

Dieser Prozess sorgt dafür, dass wir möglichst schnell reagieren und eine Lösung für alle Kunden und Anwender bereitstellen können. Ein ehrlicher, offener Umgang mit Sicherheitsvorfällen ist in jedem Fall der richtige Weg.