Security

Eine Schwachstelle melden

Wenn Sie eine Schwachstelle in einem Produkt von Camunda melden wollen, gehen Sie wie folgt vor:

  1. Erstellen Sie einen Account auf dem Camunda JIRA issue tracker
  2. Gehen Sie zum „Create Issue“ Eingabefenster
  3. Erstellen ein JIRA-Ticket im Projekt Security (SEC) vom Typ Security Report. Nur Mitarbeiter von Camunda und Sie, als Berichterstatter, haben darauf Zugriff.
  4. Beschreiben sie das Problem so ausführlich wie möglich.

Ein Mitarbeiter von Camunda meldet sich bei Ihnen und bearbeitet Ihren Bericht gemäß unseres Sicherheitsprotokolls.

Sicherheitsrichtlinie

Als zentrale Infrastrukturkomponente unserer Kunden hat die Sicherheit der Camunda-Produkte (auch „Software“ genannt) bei uns oberste Priorität und wird ständig überprüft.

Informationssicherheitsstandards

Die Sicherheit der im folgenden Abschnitt genannten Bereiche ist durch die Einhaltung branchenüblicher Best Practices gewährleistet. Bei der Entwicklung der Software werden dabei Standards wie OWASP Top 10CVSS u.a. beachtet.

Organisatorische Sicherheitsaspekte

Rollen und Zuständigkeiten

In Camunda’s Unternehmensstruktur ist die Rolle eines Sicherheitsbeauftragten vorgesehen. Diese Rolle obliegt einem leitenden Angestellten, der für die korrekte Verwaltung der Sicherheitsrichtlinie verantwortlich ist.

Sicherheit im Kontext des Systems Development Life Cycle („SDLC“)

Die Anwendungs- und Systementwicklung erfolgt nach einem festgelegten Verfahren, einschließlich einer vorhergehenden Überprüfung der informationssicherheitstechnischen Erfordernisse, um die folgenden Mindestanforderungen zu erfüllen:

Aufgabentrennung

Die Aufgabentrennung ist integraler Bestandteil der SDLC, denn somit wird verhindert, dass durch eine einzelne Person Schwachstellen in die Software eingebracht werden. Das Softwareentwicklungsteam und das für Regressionstests und Softwarebereitstellung zuständige Team sind voneinander getrennt.

Fortlaufende Softwareentwicklung

Änderungen an der Software werden gemäß eines formalen Change-Management-Prozesses durchgeführt. Dazu gehören die folgenden Mindestanforderungen:

  1. Jede Änderung des Codes durch einen Softwareentwickler wird von einem zweiten überprüft und genehmigt;
  2. Änderungen am endgültigen Softwarepaket (welches den Kunden zum Download zur Verfügung gestellt wird) dürfen nicht von der selben Person vorgenommen werden, welche die Software entwickelt hat.
  3. Alle Änderungen an der Software werden in einem Bericht zusammengefasst, darunter:
    • Kurzbeschreibung jeder Änderung;
    • wer die Änderung vorgenommen hat;
    • Testfälle für spätere Regressionstests;
    • wer die jeweiligen Änderungen überprüft hat und
    • Datum und Uhrzeit jeder Änderung.

Häufigkeit der Überprüfung

Für jedes neue Major- oder Minor-Release wird ein Review durchgeführt, um die Software zu revalidieren, bevor sie dem Kunden zum Download zur Verfügung gestellt wird.

Abhängigkeit von Drittanbietern

Abhängigkeiten von Dritten innerhalb der Software werden ständig überwacht. Gibt es neuere Versionen dieser Abhängigkeiten, welche sicherheitstechnische Verbesserungen beinhalten, so wird ein Plan erstellt, um diese Verbesserungen einzubauen.

Onboarding von Mitarbeitern

Neue Softwareentwickler werden während ihres Onboarding-Prozesses in unsere Sicherheitsrichtlinien und bewährten Verfahren eingeführt.

Sicherheitsmanagement

Melden von Sicherheitsproblemen und Schwachstellen

Sicherheitsschwachstellen können über den Camunda JIRA Issue Tracker gemeldet werden. Weitere Details siehe „Leitfaden zur Meldung von Schwachstellen“. Gemeldete Schwachstellen, die dazugehörige Dokumentation und die Identität des Berichterstatters werden streng vertraulich behandelt.

Von Enterprise-Kunden entdeckte Schwachstellen sind wie Bugs zu behandeln, es gelten die vereinbarten SLAs.

Qualifizierung

Sobald eine Schwachstelle gemeldet wurde, wird diese von Camunda untersucht. Dies umfasst eine Ursachenanalyse, eine Risikoeinschätzung (wie wahrscheinlich ist eine Ausnutzung der Schwachstelle?) und eine Bewertung des Problems (wie kann die Schwachstelle ausgenutzt werden?). Die Untersuchung wir in enger Zusammenarbeit mit dem Berichterstatter durchgeführt.

Fehlerbehebung

Camunda erstellt einen Plan zur Fehlerbehebung, um erkannte Sicherheitsrisiken zu beseitigen. Fehlerbehebungen werden als Patch-Releases (für Enterprise-Kunden) oder als Alpha/Minor-Releases (für Community-Plattform-Nutzer) zur Verfügung gestellt.

Bekanntgabe

Sobald ein Patch-Release oder ein praktikabler Workaround zur Verfügung stehen, informiert Camunda seine Anwender auf der Seite “Camunda Platform Security Notices” oder “Camunda Cloud Security Notices”.

Sicherheitsannahme und Wartung

Abnahme

Die Software gilt erst als abgenommen, wenn die Sicherheitsüberprüfung abgeschlossen, und für alle Sicherheitsprobleme ein Plan zur Fehlerbehebung erstellt wurde. Die Sicherheitsüberprüfung ist Teil der Regressionstests.

Automatische Regressionstest

Bevor ein Release freigegeben wird, müssen mehrere Regressionstests bestanden werden. Im Zuge der Regressionstests werden die sicherheitsspezifischen Aspekte der Software überprüft.

Manuelle Regressionstests

Bevor ein Release freigegeben wird, muss auch ein manueller Regressionstest bestanden werden. Im Zuge des manuellen Regressionstests werden die sicherheitsspezifischen Aspekte der Software überprüft.

Penetrationstests

Camunda hat einen unabhängigen, externen Sicherheitsexperten beauftragt, um regelmäßig Penetrationstests an der Software vorzunehmen. Der Experte richtet sich dabei nach den von der OWASP empfohlenen Best Practices, wie dem OWASP Testing Guide. Zu den für die Tests verwendeten Tools gehören Burp Suite und DefenseCode Thunderscan.

Die Ergebnisse der Penetrationstests finden Sie hier.

Entdeckte Schwachstellen werden gemäß unseres Sicherheitsmanagementprotokolls behandelt.

Automatisierte Virenprüfung

Ein automatisierter Virenscan gehört zu unserem Freigabeverfahren dazu. Der Virenscan ist auf dem jeweils neuesten Stand und wird zur Überprüfung aller Releases, die als Download zur Verfügung gestellt werden, eingesetzt. Zusätzlich werden an all unseren Kernkomponenten automatische Virenprüfungen durchgeführt.