Sicher durch Design-Versprechen | CISA

Zusammenfassung

Hierbei handelt es sich um eine freiwillige Selbstverpflichtung, die sich auf Unternehmenssoftwareprodukte und -dienste konzentriert, darunter On-Premise-Software, Cloud-Dienste und Software as a Service (SaaS). Das Versprechen umfasst keine physischen Produkte wie IoT-Geräte und Verbraucherprodukte, obwohl Unternehmen, die Fortschritte in diesen Bereichen nachweisen möchten, dies gerne tun können.

Durch die Teilnahme an diesem Versprechen verpflichten sich Softwarehersteller, im folgenden Jahr nach Treu und Glauben auf die unten aufgeführten Ziele hinzuarbeiten. Für den Fall, dass ein Softwarehersteller in der Lage ist, greifbare Fortschritte in Richtung des Ziels zu erzielen, muss der Hersteller innerhalb eines Jahres nach Unterzeichnung der Zusage öffentlich dokumentieren, wie er diese Fortschritte erzielt hat. Wenn ein Softwarehersteller nicht in der Lage ist, greifbare Fortschritte zu erzielen, wird der Hersteller aufgefordert, innerhalb eines Jahres nach Unterzeichnung des Versprechens der CISA mitzuteilen, wie der Hersteller an der Erreichung des Ziels arbeitet und welche Herausforderungen er zu bewältigen hat. Im Sinne radikaler Transparenz wird der Hersteller dazu ermutigt, seinen Ansatz öffentlich zu dokumentieren, damit andere daraus lernen können. Diese Zusage ist freiwillig und nicht rechtsverbindlich.

Das Versprechen ist mit sieben Zielen organisiert. Jedes Ziel enthält die wichtigsten Benchmarks, auf die die Hersteller hinarbeiten wollen, sowie Kontexte und Beispiele für das Erreichen des Ziels und den Nachweis messbarer Fortschritte. Um eine Vielzahl von Ansätzen zu ermöglichen, liegt es im Ermessen der Softwarehersteller, die am Pledge teilnehmen, zu bestimmen, wie sie die Kernkriterien für jedes Ziel am besten erfüllen und nachweisen können. Das Aufzeigen messbarer Fortschritte bei den Produkten eines Herstellers kann verschiedene Formen annehmen – etwa durch das Ergreifen von Maßnahmen für alle Produkte eines Herstellers oder durch die Auswahl einer Produktgruppe, die zuerst behandelt werden soll, und die Veröffentlichung einer Roadmap für andere Produkte.

CISA würdigt und lobt Softwarehersteller, die diese Ziele bereits erreicht oder übertroffen haben. In einem solchen Fall, in dem ein Softwarehersteller tatsächlich ein Ziel erreicht oder übertrifft, muss der Hersteller öffentlich darlegen, wie er dies tut. In diesen Fällen begrüßt CISA zusätzliche Anstrengungen, um die Ziele der Zusage zu übertreffen.

Dieses Versprechen zielt darauf ab, bestehende Best Practices für Softwaresicherheit zu ergänzen und darauf aufzubauen, einschließlich der von CISA, NIST und anderen Bundesbehörden entwickelten Best Practices sowie internationaler und branchenspezifischer Best Practices. CISA unterstützt weiterhin die Einführung ergänzender Maßnahmen zur Verbesserung von Secure by Design.