Home Datensicherheit Einhaltung der von der US-Regierung erlassenen Anordnung 14028

Einhaltung der von der US-Regierung erlassenen Anordnung 14028

Liebe Kunden und Partner,

wir sind stolz darauf, die Einhaltung der US Executive Order (EO) 14028, „Improving the Nation’s Cybersecurity“, bekannt zu geben. Dieser Meilenstein unterstreicht unser unermüdliches Engagement für die Verbesserung der Sicherheit und Widerstandsfähigkeit unserer Produkte sowie unsere Unterstützung für Partner, die für die US-Regierung tätig sind.

Wir haben mehrere wichtige Initiativen zur Einhaltung der Richtlinien der EO 14028 umgesetzt, darunter Standards, Verfahren und Kriterien für Folgendes:

  1. Maintain a secure software development environment, including actions such as:
    • Verwendung einer separaten Build-Umgebung
    • Prüfung von Vertrauensbeziehungen
    • Verwendung der risikobasierten Multi-Faktor-Authentifizierung und des bedingten Zugriffs auf ein Quell-Repository
    • Verschlüsselung kritischer Daten
    • Überwachung von Vorgängen und Warnungen sowie Reaktion auf Cybervorfälle
    • Bereitstellung von Artefakten für die US-Bundesbehörden, die die Konformität mit den oben genannten Prozessen belegen, wenn dies verlangt wird
  2. Regelmäßige Ausführung automatisierter Tools, um Folgendes zu prüfen:
    • Aufrechterhaltung einer vertrauenswürdigen Quellcode-Lieferkette, um die Integrität des Codes zu gewährleisten
    • Kenntnis und Behebung bekannter potenzieller Schwachstellen in der Codebasis
    • Nachweis des Einsatzes der automatisierten Tools gegenüber den US-Bundesbehörden auf Anfrage
  3. Pflege und regelmäßige Prüfung genauer und aktueller Daten und der Herkunft (d. h. des Ursprungs) von internem und fremdem Softwarecode und Komponenten.
  4. Implementierung eines Programms zur Offenlegung von Schwachstellen, das Verfahren zur Berichterstellung und Offenlegung umfasst.
  5. Bescheinigung der Konformität mit sicheren Softwareentwicklungspraktiken mithilfe von Bescheinigungen für sichere Software (Secure Software Attestations).
  6. Sicherstellung der Integrität und Herkunft von Open-Source-Software, die in einem Teil unserer Produkte verwendet wird, soweit dies praktikabel ist.
  7. Einrichtung interner Prozesse zur Erstellung von Software Attestations und anderen Artefakten, wie z. B. SBOMs, für Fiery Produkte, die an die US-Bundesregierung verkauft werden, und Hochladen in das Repository for Software Attestations and Artifacts (RSAA) der CISA.

Häufig gestellte Fragen (FAQ)

Was ist die EO 14028?

EO 14028 ist eine Anordnung des Präsidenten der Vereinigten Staaten aus dem Jahr 2021. EO 14028 ist eine Reaktion auf die wachsende Zahl von Cyberangriffen auf US-Behörden und kritische Infrastruktur. Sie soll der US-Regierung und dem privaten Sektor helfen, sich gemeinsam besser vor diesen Bedrohungen zu schützen. Ein wichtiger Aspekt der EO 14028 besteht darin, dass sie einen Rahmen zur Verbesserung der Sicherheit der Software-Lieferkette schafft.

Warum ist die EO 14028 für Fiery wichtig?

Fiery Partner verkaufen aktiv Produkte und Dienstleistungen an die US-Regierung und verlangen, dass die gesamte Fiery Software dieser Anordnung entspricht

Welche Fiery Produkte sind von der EO 14028 betroffen?

Alle Fiery Softwareanwendungen, die nach dem 14. September 2022 entwickelt wurden

Wann werden die US-Regierungsbehörden mit der Durchsetzung der EO 14028 beginnen?

Ab 11. Juni 2024
„Müssen Behörden Bescheinigungsschreiben erfassen, die von Softwareanbietern für ‚kritische Software‘ nicht innerhalb von 3 Monaten nach Genehmigung des gemeinsamen Formulars öffentlich zugänglich gemacht werden.“ Das gemeinsame Formular wurde am 11.03.2024 genehmigt

Wie geht die EO 14028 mit Aktualisierungen bestehender Softwareversionen um?

Bestehende Software, die durch größere Versionsänderungen modifiziert wird (z. B. unter Verwendung des semantischen Versionsschemas Major.Minor.Patch, oder die Softwareversion wird nach dem 14. September 2022 von Version 2.5 auf 3.0 aktualisiert), ist davon betroffen und muss dieser Anordnung entsprechen. Die Fiery Software folgt einem dreistelligen Versionsschema (Major.Minor.Patch), das schrittweise angewendet wird, z. B. v1.0.2, wobei 1 für die Hauptversion (Major), 0 für die Nebenversion (Minor) und 2 für Patches oder Sicherheitsupdates steht. Für die Einhaltung der EO 14028 wird in der Fiery Software nur die Hauptversion berücksichtigt. Kleinere Software-Updates (z. B. CWS 7.1.0) und Patches (z. B. CWS 7.1.1) sind von dieser Anordnung nicht betroffen.

Wie geht die EO 14028 mit Software-as-a-Service (SAS)-Produkten um?

Software, an deren Code der Hersteller fortlaufend Änderungen vornimmt (z. B. Software-as-a-Service-Produkte oder andere Produkte, die eine kontinuierliche Lieferung/kontinuierliche Bereitstellung nutzen), ist davon betroffen und muss dieser Anordnung entsprechen.

Gibt es neben den Bescheinigungen für sichere Software noch andere Anforderungen, die zum Nachweis der Einhaltung der Vorschriften erforderlich sind?

Auf Anfrage einer US-Behörde können wir die Konformität mit den Praktiken der sicheren Softwareentwicklung (SSDP) nachweisen und entsprechende unterstützende Artefakte wie die Software Bill of Materials (SBOM) für das Produkt bereitstellen.

Werden Fiery Secure Software Attestations auch Software von Drittanbietern umfassen, die mit dem Fiery DFE gebündelt sind? Zum Beispiel Adobe SW oder Microsoft SW.

Nein. Es liegt in der Verantwortung der Hersteller von Drittsoftware, eine Bescheinigung für ihre Produkte vorzulegen.

Wie sieht es mit Open-Source-Software aus, die in Fiery DFEs enthalten ist?

Open-Source-Software von Drittanbietern, die in Fiery DFEs enthalten ist, fällt nicht in den Geltungsbereich dieser Anordnung.

Weitere Informationen über unsere Cybersicherheitsinitiativen finden Sie auf unserer Website https://www.fiery.com/security/