Richtlinie zum Schwachstellenmanagement

1. Einleitung

Dieses Dokument beschreibt, wie Schwachstellen in der DeskCamera-Software identifiziert, bewertet und behoben werden. DeskCamera ist eine lokal installierte Anwendung, die Bildschirmdaten lokal an NVR-/VMS-Systeme überträgt. Sie zeichnet weder Video noch Audio auf und sammelt keine personenbezogenen Daten. Eine optionale Verbindung zur Cloud-Infrastruktur kann ausschließlich zur Lizenzierung oder für Update-Prüfungen genutzt werden. Dabei werden niemals personenbezogene Daten übertragen.

2. Zweck

Ziel ist es, die Sicherheit und Zuverlässigkeit von DeskCamera zu gewährleisten, indem die Exposition gegenüber bekannten Schwachstellen durch strukturierte Bewertung, Behebung und Aktualisierung minimiert wird.

3. Geltungsbereich

Gilt für alle Versionen der DeskCamera-Software, interne Entwicklungssysteme, Quellcode-Repositories und alle Drittanbieter-Komponenten, die in die Software integriert sind.

4. Governance und Rollen

  • CTO – Verantwortlich für die Richtlinie und prüft kritische Schwachstellen
  • Entwicklungsteam – Zuständig für Überwachung, Bewertung und Behebung von Problemen
  • Sicherheitsbeauftragter – Koordiniert das Schwachstellenmanagement und die externe Kommunikation (falls erforderlich)

5. Identifikation von Schwachstellen

  • Kontinuierliche Überwachung von CVE-Feeds und Lieferantenhinweisen
  • Interne Code-Reviews und statische Analysewerkzeuge während der Entwicklung
  • Fehlerberichte von Kunden oder ethischen Forschern an [email protected]

6. Klassifizierung und Risikobewertung

  • Schwachstellen werden als Emergency, Hoch, Mittel oder Niedrig klassifiziert – basierend auf CVSS und geschäftlicher Auswirkung
  • Die Risikobewertung berücksichtigt Wahrscheinlichkeit der Ausnutzung, Einfluss auf die Funktionalität und Angriffsfläche

7. Behebungsprozess

  • Emergency- und Hoch-Priorität-Schwachstellen werden innerhalb von 5 Arbeitstagen behoben
  • Sicherheitspatches werden nach Tests im nächsten verfügbaren Release integriert
  • Abhängigkeiten werden proaktiv aktualisiert, wenn bekannte Risiken auftreten

8. Aktualisierungs- und Veröffentlichungsprozess

  • Builds werden mit einem sicheren, auf Offline-USB-Medien gespeicherten Zertifikat signiert
  • Neue Installationsdateien werden auf der offiziellen DeskCamera-Website veröffentlicht
  • Kunden werden über den Bereich „Security Advisories“ informiert (falls vorhanden)

9. Kundenverantwortung

  • Kunden sind dafür verantwortlich, Updates manuell herunterzuladen und zu installieren
  • DeskCamera kann keine Updates automatisch bereitstellen oder auf Kundensysteme zugreifen, weshalb Kunden bestmögliche Sicherheitspraktiken einhalten sollten

10. Überprüfung und Tests

  • Diese Richtlinie wird jährlich vom CTO überprüft
  • Versionskontrolle erfolgt über GitHub
  • Praktiken im Schwachstellenmanagement können nach einem Sicherheitsvorfall oder einer Sicherheitsmeldung angepasst werden

11. Audit-Logging und Änderungsverfolgung

  • Alle Codeänderungen und Zugriffshistorien werden automatisch über Azure DevOps Server protokolliert
  • Commit-Historie, Benutzeraktivitäten und Berechtigungsänderungen werden in einer internen SQL Server-Datenbank gespeichert
  • Git-Commit-Verläufe werden für alle Versionen beibehalten; rollenbasierte Zugriffskontrolle stellt Nachvollziehbarkeit sicher
  • Die Audit-Trails entsprechen den Empfehlungen von ISO 27001 und SOC 2 für sichere Softwareentwicklung