Auf der kürzlich in den USA abgehaltenen RSA 2024-Jahreskonferenz zu Cybersicherheit, Sicherheitstechnologie und Datenschutz bekräftigte Fortinet sein Engagement, eine transparente und verantwortungsvolle Sicherheitseinheit zu werden, indem es als Vorreiter eine Verpflichtung zur Einhaltung der von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) entwickelten Security by Design-Vorschriften unterzeichnete.

Dabei handelt es sich um eine freiwillige Verpflichtung gegenüber der Sicherheitsbranche, die auf den bestehenden Best Practices für Softwaresicherheit von Fortinet sowie den von CISA, dem National Institute of Standards and Technology (NIST), anderen US-Bundesbehörden sowie Partnern aus der Industrie und aus aller Welt entwickelten Verfahren aufbaut. Die Verpflichtung umreißt Ziele, darunter Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen, die ein integraler Bestandteil des Produktsicherheitsentwicklungsprozesses von Fortinet sind.

Die neueste Initiative von CISA steht im Einklang mit den bestehenden Produktentwicklungsprozessen von Fortinet, die auf den Prinzipien „Security by Design“ und „Security by Default“ basieren. Fortinet verpflichtet sich zu einer strengen Überwachung der Produktsicherheit in allen Phasen des Produktentwicklungszyklus und trägt auf folgende Weise dazu bei, dass die Sicherheit von Anfang bis Ende in jedes Produkt integriert wird.

Secure Product Development Lifecycle (SPDLC): Fortinet richtet seine Prozesse an führenden Standards aus, darunter NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 und dem UK Telecommunications Security Act.

Strenge Sicherheitstests für Produkte: Fortinet nutzt Tools und Techniken wie statische Anwendungssicherheitstests (SAST) und Softwarezusammensetzungsanalyse, die in den Build-Prozess integriert sind, dynamische Anwendungssicherheitstests (DAST), Schwachstellenscans und Fuzzing vor jeder Veröffentlichung sowie Penetrationstests und manuelle Codeüberprüfung.

Vertrauenswürdige Lieferanten: Um eine sorgfältige Auswahl und genaue Bewertung der Fähigkeiten wichtiger Fertigungspartner zu gewährleisten, hält sich Fortinet an NIST 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. Fortinets Engagement für Datenschutz und -sicherheit spiegelt sich in jedem Aspekt der Geschäftstätigkeit des Unternehmens und in jeder Phase der Produktentwicklung, -herstellung und -verteilung wider.

Informationssicherheitsprogramm: Das Informationssicherheitsprogramm von Fortinet wurde entwickelt und entspricht branchenführenden Sicherheitsstandards und -rahmen, darunter ISO 27001/2, ISO 27017 und 27018 sowie NIST 800-53, sowie Datenschutzbestimmungen wie DSGVO und CCPA.

Zertifizierungen durch Dritte: Fortinet-Produkte werden routinemäßig anhand von Produktqualitätsstandards Dritter zertifiziert und validiert, darunter NIST FIPS 140-2 und NIAP Common Criteria NDcPP/EAL4+.

Darüber hinaus ist das Product Security Incident Response Team (PSIRT) von Fortinet für die Einhaltung der Sicherheitsstandards für Fortinet-Produkte verantwortlich und betreibt eines der robustesten PSIRT-Programme der Branche, einschließlich der proaktiven und transparenten Offenlegung von Schwachstellen. Fast 80 % der im Jahr 2023 entdeckten Schwachstellen von Fortinet wurden durch den strengen internen Testprozess des Unternehmens identifiziert. Dieser proaktive Ansatz hilft Fortinet, Fixes zu entwickeln und bereitzustellen, bevor es zu einer Ausnutzung durch Malware kommen kann. Fortinet arbeitet außerdem eng mit Kunden, unabhängigen Sicherheitsforschern, Beratern, Branchenorganisationen und anderen Anbietern zusammen, um die besten Reaktionsmöglichkeiten auf Sicherheitsvorfälle zu gewährleisten.

Um unser Engagement für eine Kultur radikaler Transparenz und verantwortungsvollen Geschäftsgebarens weiter zu stärken, pflegt Fortinet langfristige Partnerschaften mit öffentlichen und privaten Partnern, die mit unserer Mission übereinstimmen.

Phan Minh