Für Produkte und Dienste der SICK AG gelten höchste Qualitätsanforderungen. Bereits während der Entwicklung wird deshalb auch die Cybersecurity berücksichtigt und geprüft. Damit diese über die gesamte Lebensdauer der Produkte und Dienste hinweg gegeben ist, werden Meldungen zu möglichen Schwachstellen sehr ernst genommen und ein verantwortungsvoller Umgang damit gepflegt. Das Aufdecken von Schwachstellen wird als ein gemeinsames Bestreben verschiedenster Parteien verstanden, mit dem Ziel unseren Kunden durchgängig ein hohes Sicherheitsniveau zu bieten.
Das SICK Product Security Incident Response Team (SICK PSIRT)
Das SICK PSIRT ist das zentrale Team der SICK AG, das berechtigt ist, Meldungen zur Cybersecurity von Produkten, Lösungen und Diensten zu beantworten und Informationen bereitzustellen. Alle Meldungen zu potenziellen Schwachstellen oder anderen Sicherheitsvorfällen im Zusammenhang mit Produkten der SICK AG können an das SICK PSIRT übermittelt werden.
Das SICK PSIRT steuert die Untersuchung, interne Koordination und Offenlegung von Sicherheitsschwachstellen. Für bestätigte Schwachstellen wird ein Sicherheitshinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erforderlich macht, wird bereits vor der Verfügbarkeit eines Updates ein Sicherheitshinweis mit zu ergreifenden Maßnahmen herausgegeben.
Meldungen zu potenziellen Schwachstellen oder anderen Vorfällen sind ausdrücklich von jedem willkommen – unabhängig von einem etwaigen Kundenstatus. Die SICK AG respektiert und berücksichtigt die verschiedenen Interessen eines Berichterstatters und ermutigt zur Meldung von Informationen an das SICK PSIRT. Es wird dabei dem Prozess einer koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) gefolgt.
Der Umgang mit Schwachstellen wird im Dokument „Vulnerability Handling Guideline“ beschrieben.
Melden einer Schwachstelle
Das SICK PSIRT hat die Absicht, zusammen mit den jeweiligen Berichterstattern jede Schwachstellenmeldung vertrauensvoll und professionell zu bearbeiten. Für eine Zusammenarbeit ist weder eine Geheimhaltungsvereinbarung (NDA) noch ein anderer Vertrag notwendig oder Voraussetzung.
Koordinierte Schwachstellenmeldungen von allen Mitgliedern der Sicherheitsgemeinde werden sehr begrüßt und geschätzt. Dazu zählen Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner, Behörden, Industrieverbände und Lieferanten.
Viele Produkte der SICK AG erfüllen wichtige Schutzfunktionen und werden in kritischen Infrastrukturen eingesetzt. Die SICK AG bittet daher um die Zusammenarbeit im Rahmen einer koordinierten Offenlegung von Schwachstellen und gleichzeitig darum, von einer vorzeitigen Veröffentlichung von Schwachstelleninformationen abzusehen.
Es wird gebeten, so viele Informationen wie möglich in einer Meldung aufzuführen, um die Bearbeitung zu beschleunigen. Diese Informationen sollten Folgendes umfassen:
- Kontaktinformationen und Erreichbarkeit
- Betroffenes Produkt inklusive Modell- und Versionsnummern
- Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
- Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
- Auswirkung der Schwachstelle (falls bekannt)
- Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne?)
- (Firmen-)Zugehörigkeit des Berichterstatters (falls Auskunftsbereitschaft vorliegt)
- CVSS-Score (falls bekannt)
Falls für die Untersuchung einer Schwachstelle weitere Informationen nötig sind, kontaktiert das SICK PSIRT den Berichterstatter.
Auf Wunsch des Entdeckers wird dieser nach Offenlegung einer neuen Schwachstelle öffentlich gewürdigt.
Kontaktinformationen
Meldungen an das SICK PSIRT sind an diese Adresse zu richten:
- psirt@sick.de
(PGP Public Key mit Fingerprint: 7F26 510F D9D7 3F4E 17DE A093 7F83 3F8E) - Mögliche Sprachen: Deutsch und Englisch
- Übermittlung: bevorzugt verschlüsselt
Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch.
Das SICK PSIRT gibt gerne weitere Auskunft über seine Arbeitsweise oder zu allgemeinen Fragen in Bezug auf Schwachstellenmeldungen. Für alle anderen Anliegen ohne Sicherheitsbezug wird gebeten, den Kundendienst der SICK AG zu kontaktieren. Zu diesen Anfragen kann vom SICK PSIRT keine Auskunft gegeben werden.
Security Advisories
Historie
18.09.2024 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
22.09.2023 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
08.09.2022 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
21.09.2021 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
24.09.2020 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
18.10.2019 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.
10.12.2018 - Einführung des SICK PSIRT
Kontakt
SICK PSIRT – Ansprechpartner zur Cybersecurity von SICK-Produkten
Meldungen sind in Deutsch oder Englisch möglich.
Security Advisories
Wenn Sie RSS bevorzugen, um auf dem Laufenden zu bleiben, abonnieren Sie unseren Feed:
Dokumente
PGP Public Key mit Fingerprint: 7F26 510F D9D7 3F4E 17DE A093 7F83 3F8E
Anerkennungen
Publikationstyp: Flyer
Artikelnummer: -
Titel: COMPLETELY SECURED Industrial Information Security
Veröffentlichung: 29.07.2019
Dateigröße: 3,23 MB
Publikationstyp: Sonderinformation
Artikelnummer: -
Titel: SICK OPERATING GUIDELINES Industrial Information Security
Veröffentlichung: 29.07.2019
Dateigröße: 1,00 MB