Hallo, Welt!

Adrian Stone, Sr. Director, EA Product Security

Vor Kurzem haben wir unser Programm zur Meldung von Schwachstellen auf der EA Security-Website ins Leben gerufen. Unsere bisherigen Erfahrungen damit waren sehr aufschlussreich und wir möchten allen Beteiligten in der Security-Community herzlich dafür danken, dass sie uns dabei geholfen haben, unsere Spieler, Spiele und Infrastruktur abzusichern. Diese Zusammenarbeit wird auch zukünftig ein zentraler Bestandteil unserer Bemühungen sein, das Gaming-Ökosystem sicherer zu gestalten.

Warum melde ich mich also gerade jetzt bei euch? 

Wir haben in unserer Zusammenarbeit mit der Security Research-Community eine Menge Erkenntnisse gewonnen und prüfen jeden Bericht, der bei uns eingeht. Dabei haben wir unter anderem erkannt, dass es enorm wichtig ist, mit großen Teilen der Security Community und denjenigen Spielern in Kontakt zu treten, denen etwas an unseren Sicherheitsbemühungen liegt. Aus diesem Grund haben wir uns dazu entschieden, einen neuen Kommunikationsweg zu schaffen: den EA Security Blog. Wir arbeiten außerdem an weiteren Möglichkeiten, mit unseren Kunden in Kontakt zu treten, und wir werden den Blog entsprechend updaten, sobald weitere Dienste einsatzbereit sind.

Ich möchte auch ein wenig Werbung machen: Ihr seid fantastisch und wir wollen euch einstellen!  Unsere Security-Teams bei EA beschäftigen sich mit einer Reihe unterschiedlicher Sicherheitsthemen: Die Unternehmenssicherheit befasst sich mit dem Schutz von EAs Firmensystemen vor Malware-Angriffen und unautorisierten Zugriffen, während das Product Security Engineering-Team sicherstellt, dass EAs Spiele und Online-Dienste im gesamten Entwicklungszyklus und darüber hinaus abgesichert sind. Natürlich verändern sich die Bedrohungen mit der Zeit, weswegen wir auch Notfallteams für Unternehmens- und Produktsicherheit zusammengestellt haben, die sich um neuartige Bedrohungen für das Unternehmen und unsere Spieler kümmern.

Da unser Programm für die Meldung von Schwachstellen noch in den Kinderschuhen steckt, kommen zwei bestimmte Fragen immer wieder auf, die ich an dieser Stelle beantworten möchte.  

1. Wie ermittelt EA den Schweregrad eines Sicherheitsproblems?

Wir haben zwei Ansätze, um den Schweregrad eines Problems zu bestimmen. Der erste Ansatz ist das branchenweit anerkannte CVSS-Punktesystem. Der zweite ist eine vierstufige Klassifizierung auf einer Skala von „Kritisch“ bis „Niedrig“. Der höchste Schweregrad, „Kritisch“, ist Problemen vorbehalten, die nur geringe bis gar keine Nutzerinteraktionen voraussetzen, um erfolgreich ausgenutzt werden zu können. Bei einem kritischen Problem könnte ein Spieler oder dessen Endgerät mit Standard-Konfiguration für einen Angriff aus dem Netz verwundbar sein, ohne dass er etwas davon merkt. Ausgehend von dieser Maßgabe beurteilen wir die anderen drei Klassifizierungen („Wichtig“, „Moderat“, „Niedrig“), indem wir den Aufwand berücksichtigen, den ein potentieller Angreifer betreiben müsste, um die jeweilige Schwachstelle auszunutzen. Einfach gesagt: Je schwieriger es für einen potentiellen Angreifer ist, eine Schwachstelle auszunutzen, desto geringer ist ihr Schweregrad.

2. Wie klassifiziert EA den Schweregrad für eingehende Meldungen?

Was die Bewertung der Sicherheitsrisiken angeht, ist die Antwort leicht: Wir nutzen das branchenweit anerkannte Sicherheitsmodell „STRIDE“. Dieses Klassifizierungsmodell spezifiziert den Schweregrad der jeweiligen Schwachstelle. Wenn wir eine Meldung zu einer potentiellen Schwachstelle erhalten, bestimmt ein Mitarbeiter des Security Teams zunächst das weitere Vorgehen. Wenn das Problem weitere Untersuchungen rechtfertigt, wird einer unserer Sicherheitsexperten damit beauftragt, mit den Verantwortlichen der betroffenen Software innerhalb von EA in Kontakt zu treten, um das Problem zu lösen. Im Laufe dieser Untersuchung wird dem Problem dann ein Schweregrad zugewiesen.

Ich bin sehr gespannt darauf, welche gemeinsamen Erfolge wir gemeinsam mit der Community für ein sicheres Gaming-Ökosystem erzielen werden. Bleib dran, um mehr zu erfahren.

- A

Adrian Stone