3CX ist sich seiner Verantwortung bewusst ein Sicherheitskonzept auszuarbeiten, damit weitere Angriffe, egal wie routiniert, abgewehrt werden können. Dazu hat 3CX eine Sicherheitscharta entworfen und setzt damit neue Maßstäbe. Die Sicherheitscharta, genannt „EFTA“ (griechisch: 7) umfasst 7 Punkte, zu deren Umsetzung 3CX verpflichtet hat.

1. Stärkung mehrerer Ebenen der Netzwerksicherheit

3CX hat einen strategischen Plan entwickelt, um die Sicherheit des Netzwerks zu verstärken:

• Neuaufbau des Netzwerks, beginnend mit einer dedizierten Build-Umgebung, die gesichert und isoliert ist
• Implementierung neuer EDR-Überwachungstools
• Einsatz von Offsite-Überwachung rund um die Uhr – besetzt mit Spezialisten für die Bedrohungssuche
• Strengere Zugriffskontrollrichtlinien auf allen Ebenen bei einem Zero-Trust-Modell
• Enge Zusammenarbeit mit Mandiant zur Umsetzung der Empfehlungen des Sanierungsplans

2. Überarbeitung der Build-Sicherheit

Die Verfahren wurden von 3CX verbessert und es werden zusätzliche Tools eingesetzt, um die Integrität der zur Verfügung gestellten Software sicherzustellen. Das beinhaltet:

• Verstärkte statische und dynamische Codeanalyse – unser Code wird vor jedem Commit gescannt, um nach Codequalitätsproblemen und Schwachstellen im gesamten Telefonsystemprojekt zu suchen – einschließlich des Webclients.
• Code-Signatur- und Überwachungslösungen – Wir evaluieren mögliche Code-Signatur- und Überwachungslösungen, um sicherzustellen, dass unsere Software nicht modifiziert wird.

3. Laufende Überprüfung der Produktsicherheit mit Mandiant

3CX arbeitet eng mit Mandiant zusammen, um die laufende Überprüfung der Produktsicherheit abzuschließen und um Schwachstellen in 3CX-Produkten zu identifizieren. Dazu gehören der Webclient, die Electron-App sowie internen API- und Kommunikationsbibliotheken. Mehrere potenzielle Schwachstellen wurden bereits behoben, die im Rahmen dieses Prozesses identifiziert wurden.

4. Verbesserung der Produktsicherheitsfunktionen

3CX verbessert und stäkt die Produktsicherheitsfunktionen. Als ersten Schritt wird nächste Woche bereits das Update 7A nach einer Sicherheitsprüfung veröffentlicht und umfasst folgende Punkte:

• PWA als bevorzugte Option für mehr Kunden:
  • Fügt BLF-Panel zum PWA-App-Dialer hinzu
  • Unterstützung für das Tel-Protokoll (Update 8)
• Passwort-Hashing
• Entfernen des Passworts aus der Willkommens-E-Mail
• Sperren des Webclients per IP – für den Systemadministrator oder alle Benutzer
• Eine Reihe von Schwachstellen wird behoben

Auch die Produkt-Roadmap wurde von 3CX aktualisiert und eine neue Version der nativen Windows-App wurde aufgenommen, die aus dem Microsoft Store installiert werden kann. Dies fügt automatisch eine Sicherheitsstufe sowie bei Bedarf automatische Updates und Quarantäne hinzu. Auch sind zusätzliche Sicherheitsupdates wie 2MFA für Nicht-SSO-Installationen geplant. Weitere Details sowie die Roadmap werden in Kürze veröffentlicht.

5. Durchführen laufender Penetrationstests

Ein etablierten Unternehmen für Penetrationstests wurde von 3CX ausgwählt, um laufende Penetrationstests des Netzwerks, der Online-Webanwendungen, einschließlich Website und Kundenportal, sowie der 3CX Produkte durchzuführen.

6. Verfeinerung des Krisenmanagement- und Alarmbehandlungsplans

In Zukunft wird 3CX einen Krisenmanagement- und Alarmbehandlungsplan formalisieren, um auf den Lehren aus diesem Vorfall aufzubauen. Das transparente Verhalten von 3CX und die Kommunikation mit den Kunden über den Blog, das Forum und ander Soziale-Plattformen wird weiterhin beibhalten und noch weiter ausgebaut.

7. Einrichtung einer neuen Abteilung für Netzwerkbetrieb und -sicherheit

Es wurde eine eigene Abteilung geschaffen, die sich auf Netzwerkbetrieb und -sicherheit konzentriert. Diese neue Abteilung „Network Operations & Security“ wird von Agathocles Prodromou geleitet, der fast 20 Jahre Erfahrung im IT- und Sicherheitsbereich mitbringt. Als Chief Network Officer (CNO) wird Agathocles direkt an den CEO berichten, um eine direkte und offene Kommunikationslinie zu gewährleisten, während 3CX die Betriebspraktiken und das Sicherheitsprogramm kontinuierlich überprüft und verbessert. Dazu wurde ein erhebliches SIcherheitsbudget für die neue ABteilung zur Verfügung gestellt.