Die US-amerikanische Cyber- und Infrastuktursicherheitsbehörde CISA (Cybersecurity and Infrastructure Agency) und siebzehn Partner aus der ganzen Welt tragen mit ihren „Secure by Design“-Prinzipien zur Gestaltung der Best Practices für die Technologiebranche bei. Software-Unternehmen sollen dazu ermuntert werden, Sicherheit zu einem integralen Bestandteil der Produktentwicklung zu machen und Lösungen mit standardmäßig konfigurierten, leistungsstarken Sicherheitsfunktionen zu entwickeln.
Als Cybersicherheitsdienstleister betrachten wir Produktsicherheit als Bestandteil der Cloudflare-DNA. Wir sind von den CISA-Prinzipien überzeugt und werden diese bei unserer Arbeit auch in Zukunft anwenden. Deshalb möchten wir anhand von konkreten Beispielen darlegen, wie wir diese Grundsätze bei von uns entwickelten und allen unseren Kunden zur Verfügung stehenden Cloudflare-Produkten und -Diensten angewandt haben.
Doch was versteht man eigentlich genau unter „Secure by Design“ und „Secure by Default“?
Mit „Secure by Design“ sind Produkte gemeint, bei denen der Sicherheitsaspekt schon bei der Entwicklung mitgedacht und nicht erst nachträglich eingebunden wurde. Dafür müssen Softwareunternehmen ihre Produkte von vornherein so anlagen, dass sie einigermaßen gut vor Angreifern geschützt sind, die sich Zugriff darauf erhalten.
„Secure by Default“ bedeutet, dass bei neu entwickelten Produkten Sicherheitskonfigurationen standardmäßig und ohne Zusatzkosten bereits integriert sind.
Die CISA nennt drei Prinzipien für Softwaresicherheit:
Verantwortung für das spätere Sicherheitsniveau beim Kunden
Radikale Transparenz und Rechenschaft
Führung von oben
In ihrer Dokumentation bietet die CISA eine umfassende Orientierung dazu, wie sich diese Prinzipien einhalten lassen und welche Sicherheitsmaßnahmen ein Softwareunternehmen ergreifen sollte. Werden diese Leitlinien befolgt, verbessert sich dadurch die Sicherheitslage beim Kunden. Außerdem trägt dies zum guten Ruf des Anbieters bei und erlaubt es diesem, die langfristigen Wartungs- und Fehlerbehebungskosten zu senken.
Warum ist es relevant?
Dass Technologie aufgrund der Automatisierung von Alltagstätigkeiten in unser aller Leben eine wichtige Rolle spielt, wird wohl niemand bestreiten. Die Abhängigkeit von Technologie und internetfähigen Geräten hat in den letzten Jahren spürbar zugenommen, insbesondere durch Covid-19. Während der Pandemie haben Menschen und Unternehmen ihre Aktivitäten ins Web verlagert, um die Kontaktbeschränkungen einhalten zu können.
Das Internet macht uns das Leben in vieler Hinsicht leichter, etwa durch Online-Lernen oder das Arbeiten im Homeoffice. Doch damit eröffnet sich Angreifern auch die Möglichkeit, aus solchen Aktivitäten Profit zu schlagen. So können ohne ordentliche Sicherheitsvorkehrungen sensible Informationen wie Nutzer-, Finanz- und Anmeldedaten kompromittiert und missbraucht werden.
Manchmal treffen Schwachstellen in Systemen sogar ganze Branchen und Volkswirtschaften treffen. Hacker aus Nordkorea stehen im Verdacht, 2023 für mehr als 20 Prozent aller Verluste im Bereich Krytowährungen durch die Ausnutzung von Sicherheitslücken bei Software und den Diebstahl von über 300 Millionen US-Dollar von Privatleuten und Unternehmen auf der ganzen Welt verantwortlich gewesen zu sein.
Trotz der potenziell katastrophalen Folgen unzureichend abgesicherter Software überlassen es zu viele Anbieter ihren Kunden, für Sicherheit zu sorgen, wie auch die CISA in ihren Leitlinien betont. Natürlich kann von Kunden diesbezüglich eine gewisse Sorgfalt erwartet werden, doch ein Großteil der Gefahren sollte von den Softwareunternehmen und ihren Produkten abgefangen werden. Nur dann lassen sich sicherere und vertrauensvollere Interaktionen online gewährleisten. Die „Secure by Design“-Prinzipien kommt bei der Schließung dieser Lücke und einer Verwandlung der Branche eine Schlüsselrolle zu.
Wie unterstützt Cloudflare die Einhaltung der „Secure by Design“-Prinzipien?
Verantwortung für das spätere Sicherheitsniveau beim Kunden
Um Verantwortung für die Sicherheitslage bei Kunden zu übernehmen, sollten Softwareunternehmen nach Auffassung der CISA in Produktsicherheitsmaßnahmen wie die Härtung von Anwendungen sowie die Bereitstellung entsprechender Funktionen und Voreinstellungen bei Applikationen investieren. Bei Cloudflare haben wir Produktsicherheit stets vor Augen, wie die weiter unten folgenden Beispiele zeigen.
Anwendungshärtung
Cloudflare-Entwickler halten einen klar definierten Verwaltungsprozess für den Software-Lebenszyklus mit Fixpunkten von unserem IT-Sicherheits-Team ein. Wir rücken proaktiv bekannte Sicherheitslücken zuleibe, bevor sie ausgenutzt werden können, und beseitigen bereits genutzte Schwachstellen für alle unsere Kunden. Wir sind etwa von speichersicheren Programmiersprachen überzeugt und verwenden diese, wo immer es möglich ist. Im Jahr 2021 haben wir die in Lua geschriebene Cloudflare-WAF in der speichersicheren Sprache Rust neu verfasst. In der jüngere Vergangenheit hat Cloudflare einen neuen, unternehmenseigenen Proxy namens Pingora eingeführt. Damit haben wir auch in diesem Bereich den Wechsel von der nicht speichersicheren Sprache C zu Rust vollzogen. In beiden Fällen handelte es sich um besonders umfangreiche Projekte, deren Umsetzung nur dank der Unterstützung unsere technischen Führungsteams möglich war.
Zero Trust-Sicherheit
Das Zero Trust-Reifemodell der CISA wird von uns durch den Einsatz der Cloudflare-Produktreihe für Zero Trust-Sicherheit angewandt, um unerlaubten Zugriff auf Daten, Entwicklungsressourcen und andere Dienste von Cloudflare zu verhindern. Wir verringern das entgegengebrachte Vertrauen auf ein Minimum und verlangen eine strenge Überprüfung der Identität aller Nutzer und Geräte, die versuchen, auf selbstgehostete oder in der Cloud angesiedelte Cloudflare-Ressourcen zuzugreifen.
Im heutigen Kontext, in dem Angriffe grassieren und hybrides Arbeiten Normalität geworden ist, betrachten wir bei Cloudflare eine Zero Trust-Sicherheitsarchitektur als Muss. Zur Absicherung kleiner und mittelständischer Betriebe verfügen wir über ein Zero Trust-Programm mit den grundlegenden Sicherheitskontrollen, die für den Schutz von Mitarbeitenden und Anwendungen online erforderlich sind – und das kostenlos für bis zu 50 Nutzer.
Anwendungsfunktionen
Wir stellen Nutzern zahlreiche Sicherheitstools kostenlos zur Verfügung. Darüber hinaus haben wir seit unseren Anfängen auch dazu beigetragen, dass branchenweit inzwischen standardmäßig bessere Sicherheitsfunktionen angeboten werden.
Im Jahr 2014 haben wir während unserer Birthday Week die kostenlose Bereitstellung von Verschlüsselung für alle unsere Kunden durch die Einführung von Universal SSL bekannt gegeben. 2015 sind wir dann noch einen Schritt weitergegangen und haben die kostenlose vollständige Verschlüsselung sämtlicher Daten vom Browser bis zum Ursprungsserver ermöglicht. Mittlerweile ist der Rest der Branche unserem Beispiel gefolgt, sodass standardmäßige Verschlüsselung für Internetanwendungen inzwischen die Norm ist.
Während der siebten Birthday Week von Cloudflare im Jahr 2017 konnten wir die Einführung einer DDoS-Abwehr ohne Volumenbegrenzung verkünden. Der Dienst fängt DDoS-Großangriffe ab oder mindert ihre Wucht, ohne Kunden die während solcher Attacken in Anspruch genommene zusätzliche Bandbreite in Rechnung zu stellen. Mit dieser Maßnahme haben wir der bisherigen Praxis der Branche ein Ende gesetzt, den sprunghaften Anstieg des Traffics während Angriffen gesondert abzurechnen.
Im Jahr 2021 haben wir das Protokoll MIGP („Might I Get Pwned“) vorgestellt. Damit können Nutzer ohne unnötige Offenlegung von Informationen überprüfen, ob ihre Login-Daten an die Öffentlichkeit gelangt sind. Ihre Anmeldedaten – abgesehen von einer Bucket-ID, die aus einem Präfix des Hash-Codes Ihrer E-Mail-Adresse abgeleitet wird – verbleiben auf Ihrem Gerät und werden (selbst in verschlüsselter Form) niemals über das Internet übertragen. Bis zu diesem Zeitpunkt konnten sich Dienste zur Prüfung der Anmeldedaten selbst als Schwachstelle erweisen: In bestimmten Fällen war es möglich, dass sensible Informationen nach außen drangen, während man überprüfte, ob die eigenen Login-Daten von einem Leak betroffen waren.
Ein Jahr später hat Cloudflare dann mit der Mitteilung, dass die verwalteten Regeln (Managed Rules) unserer WAF (Web Application Firewall) ab sofort bei allen Cloudflare-Tarifen kostenlos enthalten sind, in der Branche erneut für ein Umdenken gesorgt. Die WAF ist dafür verantwortlich, Webanwendungen vor Angriffen zu schützen. Unabhängig von der Größe des betroffenen Unternehmens haben solche Attacken große Auswirkungen auf das ganze Internet. Indem wir sie gratis zur Verfügung stellen, tragen wir zu einer höheren Sicherheit aller im Web bei.
Ende 2023 schließlich konnten wir der Branche erneut einen neuen Impuls geben, indem wir allen unseren Kunden unabhängig von ihrem Tarif Post-Quanten-Kryptografie kostenlos zur Verfügung gestellt haben.
Anwendungsvoreinstellungen
Zum zusätzlichen Schutz unserer Kunden wird durch unsere Standardeinstellungen von vornherein ein solides Sicherheitsniveau gewährleistet. Sobald die Nutzer sich mit allem vertraut gemacht haben, können sie die Einstellungen nach Belieben ändern und konfigurieren. Wir wenden beispielsweise automatisch den kostenlosen von Cloudflare verwalteten Regelsatz auf jede neue Cloudflare-Zone an. Dieser umfasst Regeln unter anderem für Log4j, Shellshock und weit verbreitete WordPress-Exploits. Kunden können ihn falls erforderlich deaktivieren oder den Traffic-Filter oder individuelle Regeln konfigurieren. Um den „Secure by Default“-Prinzipien noch besser gerecht zu werden, haben wir außerdem den auf Machine Learning beruhenden WAF Attack Score entwickelt. Bei dieser Lösung werden mithilfe von KI Möglichkeiten aufgespürt, die bestehenden verwalteten Regeln zu umgehen. Außerdem kann sie Software-Sicherheitslücken aufdecken, bevor sie öffentlich bekannt werden.
Ein weiteres Beispiel: Bei sämtlichen Cloudflare-Konten ist standardmäßig eine DDoS-Abwehr ohne Volumenbegrenzung enthalten, die Anwendungen vor vielen der im Internet am häufigsten auftretenden und am schwersten zu bekämpfenden Angriffen zu schützen.
Wenn Kunden unseren R2 Storage verwenden, werden zudem alle dort gespeicherten Objekte verschlüsselt. Das Chiffrieren und Dechiffrieren erfolgt automatisch, erfordert keine Konfigurierung durch den Nutzer und hat keine Auswirkungen auf die Performance von R2.
Darüber hinaus bietet Cloudflare allen unseren Kunden robuste Prüfprotokolle. In diesen ist die Historie der innerhalb eines Cloudflare-Kontos vorgenommenen Änderungen zusammengefasst. Dazu gehören Aktionen auf Kontoebene wie Logins und Anpassungen der Zonenkonfiguration. Prüfprotokolle sind Teil aller Tarife und werden sowohl für Einzelnutzer als auch für Organisationen mit mehreren Nutzern erstellt. Sie sind für 18 Monate verfügbar.
Radikale Transparenz und Rechenschaft
Um das erreichen zu können, muss man den Ehrgeiz haben, wirklich sichere Produkte bereitzustellen. Transparenz und die Weitergabe von Informationen sind maßgeblich, um die IT-Sicherheitsbranche voranzubringen. Dadurch wird ein Umfeld geschaffen, in dem Unternehmen voneinander lernen und den Cyberspace sicherer machen können. Cloudflare schafft gleich auf mehrere Weise Transparenz, wie im Folgenden dargelegt.
Der Cloudflare-Blog
Im Cloudflare-Blog finden Sie aktuelle Informationen zu unseren Funktionen und Verbesserungen, aber auch zu Zero-Day-Angriffen, die für die gesamte Branche von Bedeutung sind. Dazu zählen die außergewöhnlichen, im vergangenen Jahr verzeichneten HTTP/2 Rapid Reset-Attacken. Zu unserem Verständnis von Transparenz gehört auch, über wichtige Sicherheitsvorfälle wie 2023 zu Thanksgiving zu berichten. Wir schildern ausführlich, was passiert ist und warum sowie welche Schritte wir zur Behebung des Problems unternommen haben. Außerdem bemühen wir uns seit unseren Anfängen um radikale Transparenz bei Zwischenfällen, die unsere Dienste beeinträchtigt haben. Dieses wichtige Prinzip zählt von jeher zu unseren Grundwerten. Wir hoffen, dass die von uns öffentlich gemachten Informationen anderen dabei helfen können, ihre Praktiken bei der Softwareentwicklung zu optimieren.
Cloudflare-Systemstatus
Auf der Cloudflare System Status-Seite können sich Websitebetreiber über den Status von Cloudflare-Diensten informieren. Sie finden dort Informationen zum aktuellen Status der Services und darüber, ob diese erwartungsgemäß arbeiten. Bei aktuellen Vorkommnissen wird auf der Statusseite angezeigt, welche Dienste betroffen sind und welches Problem konkret besteht. Außerdem finden sich dort Informationen zu geplanten Wartungsmaßnahmen, die bestimmte Services vorübergehend beeinträchtigen könnten.
Technische Transparenz zur Integrität des Codes
Wir halten Verschlüsselung für ein wichtiges technisches Werkzeug, um auf transparente Weise die Identität und Datenintegrität zu überprüfen. Im Jahr 2022 haben wir beispielsweise mit dem Messengerdienst WhatsApp zusammengearbeitet, um für diesen ein System zu entwickeln, mit dem sich die Nutzer seiner Webversion sicher sein können, dass das von ihnen genutzte Programm nicht manipuliert wurde. Dies geschieht durch Aktivierung einer Erweiterung zur Codeüberprüfung, mit der die Unversehrtheit des Hash-Codes automatisch kontrolliert wird. Dieser Prozess und die Tatsache, dass wir ihn für den Nutzer automatisiert haben, trägt zu skalierbarer Transparenz bei. Wenn die Nutzer selbst auf die Hash-Codes zugreifen, diese verarbeiten und vergleichen müssten, würde wahrscheinlich nur ein kleiner, technisch fachkundiger Teil der User diese auf Manipulationen überprüfen.
Transparenzbericht und „Warrant Canarys“
Unser Meinung nach ist ein transparenter Umgang mit den bei uns eingehenden Anfragen von Strafverfolgungsbehörden und anderen staatlichen Stellen wesentlich, um das Vertrauen unserer Kunden zu erringen und zu bewahren. Zu diesem Zweck aktualisieren wir alle sechs Monate den Cloudflare-Transparenzbericht mit den bei uns eingegangenen Anfragen zur Offenlegung von Informationen über unsere Kunden.
Ein wichtiger Bestandteil dieses Transparenzberichts sind unsere „Warrant Canarys“. Dabei handelt es sich um eine Methode, mit der Nutzer unausgesprochen darüber in Kenntnis gesetzt werden, dass wir bestimmte Handlungen nicht vollzogen oder bestimmte Aufforderungen von Regierungsstellen oder Strafverfolgungsbehörden nicht erhalten haben – etwa die Herausgabe unserer Chiffrierungs- oder Authentifizierungsschlüssel oder derjenigen unserer Kunden. Auf diese Weise können wir unsere Nutzer wissen lassen, wie gut ihre Daten gerade vor fremdem Zugriff geschützt sind. Zugleich sind wir damit in der Lage, die staatlichen Auflagen zur Verschwiegenheit einzuhalten. Mehr über unsere „Warrant Canarys“ erfahren Sie hier.
Transparenzbericht und „Warrant Canarys“ werden in den „Secure by Design“-Prinzipien der CISA nicht ausdrücklich genannt. Wir sind aber der Meinung, dass es für ein Technologieunternehmen wichtig ist, seine Vorgehensweise offenzulegen.
Öffentliche „Bug Bounty“-Programme
Wir möchten Sie einladen, zu unseren Bemühungen um höhere Sicherheit beizutragen und sich an unserem öffentlichen „Bug Bounty“-Programm zu beteiligen, das von HackerOne ausgerichtet wird und in dessen Rahmen Sie Sicherheitslücken an Cloudflare melden können, wofür wir Geldpreise ausloben.
Führung von oben
Diesem Prinzip entsprechend ist der Sicherheitsaspekt tief in den geschäftlichen Zielen von Cloudflare verankert. Sicherheit und Qualität gehen Hand in Hand. Indem wir die standardmäßigen Sicherheitsvorkehrungen verbessern, erhöht sich also auch die Qualität des gesamten Produkts.
Bei Cloudflare sind wir der Sicherheit verpflichtet, was sich in unserer Unternehmensstruktur widerspiegelt. Unser Chief Security Officer berichtet direkt an unseren CEO und gibt bei jeder Vorstandssitzung einen Überblick über die aktuellen Entwicklungen. So ist der Vorstand immer gut über die aktuelle Cybersicherheitslandschaft informiert. Außerdem unterstreicht dies die Bedeutung der Initiativen, die das Unternehmen zur Erhöhung der Sicherheit umsetzt.
Darüber hinaus sind unsere Security Engineers Teil der Hauptorganisation für Forschung und Entwicklung. Ihre Arbeit ist für unsere Produkte von ebenso entscheidender Bedeutung wie die unserer Systemingenieure. Das bedeutet, dass unsere Security Engineers Sicherheitsvorkehrungen von Anfang an in den Softwareentwicklungs-Lebenszyklus integrieren können, anstatt sie nachträglich hinzuzufügen.
Was können Sie persönlich tun?
Wir möchten Softwareunternehmen ermuntern, sich mit den „Secure by Design“-Prinzipien der CISA vertraut zu machen und einen Plan zu deren Implementierung in Ihrer Firma zu erstellen.
Privatpersonen können sich an unseren „Bug Bounty“-Programmen (wie der öffentliche Cloudflare-Initiative Hacker One) beteiligen, um ein größeres Bewusstsein für Cybersicherheit in ihrer jeweiligen Community zu schaffen.
Lassen Sie uns gemeinsam für ein besseres Internet sorgen.