In den letzten Jahren sind aus gutem Grund immer mehr Gerätehersteller dazu übergegangen, die Produktsicherheit stärker in den Fokus zu rücken.
Dazu zählt auch, den Aufbau eines Product Security Incident Response Teams (PSIRT) in die strategische Planung einzubeziehen, um das Risiko eines erfolgreichen Exploits zu senken. Unternehmen, die vernetzte Produkte und IoT-Geräte entwickeln, sind sich inzwischen deutlicher bewusst, dass sie für die Sicherheit ihrer Produkte verantwortlich sind. Gesetzliche Vorgaben, der Gedanke an eventuelle Wettbewerbsvorteile oder die Tatsache, selbst schon Opfer eines Vorfalls geworden zu sein, befeuern solche PSIRT-Initiativen zusätzlich. Die Bereitschaft, Budgets und Ressourcen bereitzustellen wächst. Trotzdem sollte man einige grundlegende Voraussetzungen nicht außer Acht lassen, wenn man sich an den Aufbau eines solchen Teams macht. Im Wesentlichen sind es vier Schritte:
1. Wer ist verantwortlich?
Die zentrale Frage ist, wer sollte das PSIRT aufbauen und leiten. In vielen Fällen denkt die Führungsebene dabei als erstes an den CISO/CSO. Sozusagen der natürliche Verantwortliche für die gesamte Cybersicherheit. Er kennt die Bedrohungslandschaft, er stellt sicher, dass die richtigen Tools zum Einsatz kommen, um Risiken frühzeitig zu erkennen und generell zu senken, und er sorgt dafür, dass Systeme und Daten geschützt sind. Das allein sind außerordentlich anspruchsvolle und vielfältige Aufgaben. Die Sicherheit von Geräten über den gesamten Lebenszyklus hinweg zu gewährleisten, also, dass sie sicher sind, wenn sie an einen Kunden ausgeliefert und dort betrieben werden, erfordert die volle Aufmerksamkeit einer weiteren Person. Einen PSIRT-Leiter oder Chief Product Security Officer (CPSO) zu bestimmen, ist ein guter Ausgangspunkt. Die designierte Führungskraft ist dann dafür verantwortlich eine Strategie für das gesamte Produktportfolio zu entwickeln, das Budget zu planen, die erforderlichen Ressourcen einzuteilen und Richtlinien festzulegen.
2. Den richtigen PSIRT-Leiter finden
Wenn man ein funktionierendes PSIRT aufbauen will, muss die Geschäftsleitung mit im Boot sein. Die Rolle eines PSIRT-Leiters ist besonders bedeutsam, und die entsprechende Person sollte über eine Reihe von Kompetenzen verfügen. Dazu zählen unternehmerisches Geschick ebenso wie Expertise in den beiden Bereichen Cybersicherheit und
Er muss nicht nur sein eigenes Team führen, sondern mit der Entwicklungsabteilung, den Produktverantwortlichen, den Sicherheitsanalysten sowie mit Auditoren und Risiko-Managern kooperieren. Dazu kommen dann noch Rechts- und PR-Abteilungen und natürlich die Geschäftsleitung.
3. Die PSIRT-Toolbox
Sobald der PSIRT-Leiter Vision, Strategie, Arbeitsplanung vorgelegt und ein Team von Fachleuten zusammengestellt hat, ist es an der Zeit, die nötigen Ressourcen und das erforderliche Budget zuzuweisen und die Aktivitäten entsprechend zu priorisieren.
Auf der To-do-Liste der PSIRT-Leitung stehen:
- Analysieren und Bereitstellen von umsetzbaren Empfehlungen zu Entwicklungsmethoden, wie Codierungsstandards und Anforderungen an die Überprüfung des Codes
- Ein Verständnis der Bedrohungslandschaft und der regulatorischen Anforderungen für die im jeweiligen Produkt verwendeten Technologien entwickeln
- Produktschwachstellen identifizieren, priorisieren und Abhilfemaßnahmen auch im Falle eines Cyber-Vorfalls definieren
Damit ein PSIRT optimal arbeiten und langfristig Erfolge erzielen kann, gilt es, die für dieses Anforderungsprofil am besten geeigneten Technologien auszuwählen. Sie sollten dazu beitragen, die vorhanden Ressourcen möglichst effizient zu nutzen,
Release-Zyklen und die Time-to-Market zu verkürzen. Dazu muss das PSIRT Schwachstellen möglichst schnell identifizieren und nach Risiko priorisieren können. Technologien, die das Team dabei unterstützen und umsetzbare Empfehlungen liefern wie sich potenzielle Schäden begrenzen lassen, helfen einem PSIRT, seine Ziele zu erreichen.
4. Die Rolle der Geschäftsleitung
Die Entscheidung für ein internes PSIRT ist eine strategische Entscheidung. Es ist wichtig, Geschäftsleitung und Vorstand zu involvieren. Beide sollten den langfristigen Mehrwert eines PSIRT verstehen – auch wenn ursprünglich die Entscheidung für ein PSIRT aus Compliance-Gründen gefallen sein mag. Damit eine Firma maximal von ihrem PSIRT profitiert und das Team tatsächlich in geschäftlichen Belangen Einfluss nehmen kann, braucht die PSIRT-Leitung die Rückendeckung des Vorstands. Ganz egal, ob es um die interne Kommunikation, das Budget oder andere Ressourcen geht.