PSIRT
Wir begrüßen Hinweise von unseren Kunden und Partnern, Sicherheitsexperten oder unabhängigen Prüfern, die eine mögliche Schwachstelle in einem unserer Produkte entdeckt haben. Jede Meldung trägt dazu bei, unsere Produkte noch sicherer zu machen. Wir bitten zum Schutz unserer Kunden darum, entdeckte Schwachstellen zunächst vertraulich an unser PSIRT zu melden und auf eine öffentliche Bekanntgabe zu verzichten, bis gemeinsam eine geeignete Lösung oder ein Security Advisory veröffentlicht wurde.
Sicherheitsrisiko melden
Bitte geben Sie in Ihrer Meldung möglichst folgende Informationen an:
- Ihr Name / Ihr Unternehmen
- Ihr Kontakt (E-Mail / Telefon)
- Betroffene Anlage / Produktlinie
- Firmware- / Softwarestand
- Art der Schwachstelle und Kurzbeschreibung, wie sie ausgenutzt werden kann
- Angabe, ob die Schwachstelle bereits an anderer Stelle veröffentlicht wurde
Prozessablauf: Was passiert mit Ihrer Meldung?
Alle eingehenden Meldungen werden ausschließlich an einen begrenzten, dafür qualifizierten Personenkreis innerhalb des PSIRT weitergeleitet. Weder unautorisierte interne Mitarbeitende noch externe Dritte erhalten Zugriff auf die übermittelten Informationen. Identität und Kontaktdaten der meldenden Person werden vertraulich behandelt und nicht ohne ausdrückliche Zustimmung veröffentlicht.
Der Prozess in vier Schritten:
Eingangsbestätigung
Sie erhalten in der Regel innerhalb von XXX Werktagen eine Bestätigung, dass Ihre Meldung eingegangen ist.
Analyse & Bewertung
Unser PSIRT prüft die gemeldete Schwachstelle und bewertet deren Kritikalität, üblicherweise anhand des CVSS (Common Vulnerability Scoring System). Je nach Komplexität kann die Prüfung einige Tage bis mehrere Wochen dauern. Spätestens nach XXX Werktagen erhalten Sie eine Rückmeldung zum Status.
Maßnahmen & Behebung
Bei bestätigten Schwachstellen entwickeln wir geeignete Gegenmaßnahmen (Patch, Update, Workaround). Bei relevanten Auswirkungen auf Kunden erstellen wir ein Security Advisory. Während des gesamten Prozesses halten wir Sie über den Fortschritt auf dem Laufenden.
Veröffentlichung
Das finale Security Advisory sowie ggf. zugehörige Updates werden hier auf dieser Seite veröffentlicht und stehen allen Kundinnen und Kunden zur Verfügung. Wir würdigen auf Wunsch die meldende Person im Advisory (Credit).
