
Mit den zunehmend häufigen Cyberangriffen und Ransomware ist CyberSicherheit zur obersten Priorität für Unternehmen und Einzelanwender geworden. QNAP erkennt die entscheidende Bedeutung der Cybersecurity für das Vertrauen der Nutzer und die Stabilität der Produkte. Durch unser Product Security Incident Response Team (PSIRT) stärkt QNAP kontinuierlich seine Mechanismen zur Cybersecurity-Governance und zeigt hervorragende Ergebnisse bei der Reaktion auf Schwachstellen, der Risikokontrolle und der globalen Zusammenarbeit.
Gemeinsam mit der globalen Cybersecurity-Community zur Stärkung der Cybersecurity-Resilienz
QNAP beteiligt sich aktiv am globalen CyberSicherheit-Ökosystem und baut enge Kooperationen mit Sicherheitsforschungsorganisationen und der White-Hat-Community auf. In den letzten Jahren hat QNAP weiterhin die Zero Day Initiative (ZDI) von Trend Micro gesponsert und an weltweit renommierten Cybersecurity-Wettbewerben wie Pwn2Own Ireland und dem Matrix Cup teilgenommen, um seine Fähigkeiten im Umgang mit Schwachstellen durch praktische Übungen zu verbessern. Während dieser Wettbewerbe analysiert und behebt das engagierte QNAP-Team umgehend bekanntgegebene Schwachstellen und gibt gleichzeitig Benachrichtigungen über Betriebssystem-Updates an die Nutzer heraus.
Gleichzeitig arbeitet QNAP mit über hundert CyberSicherheit-Forschern weltweit zusammen, um koordinierte Mechanismen zur Offenlegung und Behebung von Schwachstellen zu fördern, die verschiedene Bereiche wie Weboberflächen, Backend-Dienste und Firmware-Schwachstellen abdecken. Der französische Cybersecurity-Experte Thomas Fady lobte ebenfalls unsere Bemühungen: „In den letzten zwei Jahren hat QNAP eng mit uns zusammengearbeitet, Sicherheitsentwicklungen proaktiv verfolgt und schnell sowie effektiv reagiert. Wir haben ihr wachsendes Engagement für Cybersecurity und die erheblichen Fortschritte deutlich gesehen.“
Überblick über die QNAP PSIRT-Erfolge im Jahr 2024
Im vergangenen Jahr hat QNAP PSIRT hohe Effizienz und Transparenz bei der Meldung und Bearbeitung von Vorfällen gezeigt, mit folgenden konkreten Erfolgen:
- Mehr als 40 Sicherheit-Hinweise veröffentlicht, einschließlich Schwachstellenbehebungen, Notfallanleitungen und Sicherheit-Empfehlungen
- Mehr als 100 Common Vulnerabilities and Exposures (CVE) IDs vergeben und damit zur globalen Cybersecurity-Datenbank beigetragen
- Kumulative Prämien von über 1 Million NT$ über den Sicherheitslücken-Belohnungsprogramm ausgeschüttet, sowohl für interne als auch externe Offenlegungskanäle
Auch die Reaktionszeiten für Hochrisiko-Schwachstellen sind schnell:
- Analyse von Schwachstellen im Durchschnitt innerhalb von 9 Stunden abgeschlossen
- Patches innerhalb von 14 Stunden veröffentlicht
- Vorfallberichte und Nutzeranleitungen innerhalb von 24 Stunden herausgegeben
Abteilungsübergreifende Integration zur proaktiven Sicherheit-Entwicklung
QNAP PSIRT setzt auf eine komiteebasierte Struktur, bei der die Abteilungen F&E, Sicherheit, Recht, Kundensupport und Marketing gemeinsam an der CyberSicherheit-Governance mitwirken. Zudem wurde der DevSecOps-Entwicklungsprozess vollständig implementiert, wobei automatisierte statische und dynamische Sicherheit-Analysen bereits beim Code-Commit durchgeführt werden, sodass Sicherheitsprüfungen ein integraler Bestandteil der täglichen Entwicklung sind. Darüber hinaus werden kontinuierlich automatisierte Scantools integriert, um die Genauigkeit der Schwachstellenerkennung weiter zu verbessern.
Aufbau einer mehrschichtigen Verteidigung: Gleichzeitige Implementierung von Backup-Strategien und Anomalieerkennung
Als Antwort auf zunehmend ausgeklügelte Ransomware-Bedrohungen bietet QNAP umfassende Lösungen für Anwender, von Daten-Backups bis hin zur Netzwerk-Anomalieerkennung. Der Hybrid Backup Center ermöglicht eine zentrale Verwaltung für Multi-NAS-Backup- und Wiederherstellungsoperationen. Die Airgap+-Funktion, integriert mit QHora Router, isoliert das Netzwerk während Backup-Vorgängen automatisch und reduziert so effektiv das Risiko einer Daten-Exponierung. Zusätzlich bietet die ADRA NDR (Network Detection and Response)-Lösung eine proaktive interne Netzwerkerkennung und -abwehr, erkennt schnell laterale Malware-Bewegungen und abnormales Verbindungsverhalten im Netzwerk und stärkt so den internen Netzwerkschutz weiter.
Im Bereich der Aufklärungsarbeit veröffentlicht QNAP regelmäßig Sicherheit-Konfigurationsanleitungen, Lehr-Video und Best-Practice-Beispiele pro Quartal, um Hilfe-Nutzern die Einführung proaktiver Verteidigungsstrategien zu erleichtern. Eingebaute Mechanismen wie App Armor Berechtigung-Kontrollen und CGI-Schutz werden ebenfalls kontinuierlich verbessert, um die allgemeine Cybersicherheitsabwehr weiter zu stärken.
Förderung der Transparenz in der Software-Lieferkette und KI-Sicherheit-Governance
Im Jahr 2025 hat QNAP offiziell das SBOM (Software Bill of Materials) Framework eingeführt, um sicherzustellen, dass alle in seinen Produkten verwendeten Open-Source-Komponenten von Drittanbietern über vollständige Listen und Lizenzinformationen verfügen, sodass bei einer Sicherheit-Schwachstelle eine schnelle Risikobewertung und Behebung möglich ist. Gleichzeitig hat QNAP als Reaktion auf den Aufstieg der KI-Entwicklung ein standardisiertes GenAI-Code-Review-Verfahren etabliert, das die Codequalitätskontrolle und Cybersicherheit bereits in den frühen Entwicklungsphasen verstärkt. Dieser mehrschichtige Ansatz verhindert potenzielle Schwachstellen und das Leaken sensibler Daten und stärkt die gesamte Cybersicherheits-Resilienz.
Die fortlaufende Reise der Cybersecurity-Governance – QNAP bleibt am Ball
Von der Reaktion auf Cybersicherheitsvorfälle und proaktiver Entwicklung bis hin zu Community-Zusammenarbeit und politischer Innovation hält QNAP konsequent an den Prinzipien Transparenz, Agilität und Kooperation fest, um seine Cybersecurity-Governance zu stärken. QNAP wird weiterhin seine Cybersecurity-Verpflichtungen erfüllen, indem interne und externe Risikoerkennungs- und Kontrollmechanismen verbessert werden, um Nutzern weltweit eine sicherere, widerstandsfähigere und vertrauenswürdigere digitale Speicher- und Netzwerk-Umgebung zu bieten.