Kontakt
Feedback

SICK Product Security Incident Response Team
(SICK PSIRT)

SICK Security Advisories

Für Produkte und Dienste der SICK AG gelten höchste Qualitätsanforderungen. Bereits während der Entwicklung wird deshalb auch die Cybersecurity berücksichtigt und geprüft. Damit diese über die gesamte Lebensdauer der Produkte und Dienste hinweg gegeben ist, werden Meldungen zu möglichen Schwachstellen sehr ernst genommen und ein verantwortungsvoller Umgang damit gepflegt. Das Aufdecken von Schwachstellen wird als ein gemeinsames Bestreben verschiedenster Parteien verstanden, mit dem Ziel unseren Kunden durchgängig ein hohes Sicherheitsniveau zu bieten.

Das SICK Product Security Incident Response Team (SICK PSIRT)

Das SICK PSIRT ist das zentrale Team der SICK AG, das berechtigt ist, Meldungen zur Cybersecurity von Produkten, Lösungen und Diensten zu beantworten und Informationen bereitzustellen. Alle Meldungen zu potenziellen Schwachstellen oder anderen Sicherheitsvorfällen im Zusammenhang mit Produkten der SICK AG können an das SICK PSIRT übermittelt werden.

Das SICK PSIRT steuert die Untersuchung, interne Koordination und Offenlegung von Sicherheitsschwachstellen. Für bestätigte Schwachstellen wird ein Sicherheitshinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erforderlich macht, wird bereits vor der Verfügbarkeit eines Updates ein Sicherheitshinweis mit zu ergreifenden Maßnahmen herausgegeben.

Meldungen zu potenziellen Schwachstellen oder anderen Vorfällen sind ausdrücklich von jedem willkommen – unabhängig von einem etwaigen Kundenstatus. Die SICK AG respektiert und berücksichtigt die verschiedenen Interessen eines Berichterstatters und ermutigt zur Meldung von Informationen an das SICK PSIRT. Es wird dabei dem Prozess einer koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) gefolgt.

Der Umgang mit Schwachstellen wird im Dokument „Vulnerability Handling Guideline“ beschrieben.

Melden einer Schwachstelle

Das SICK PSIRT hat die Absicht, zusammen mit den jeweiligen Berichterstattern jede Schwachstellenmeldung vertrauensvoll und professionell zu bearbeiten. Für eine Zusammenarbeit ist weder eine Geheimhaltungsvereinbarung (NDA) noch ein anderer Vertrag notwendig oder Voraussetzung.

Koordinierte Schwachstellenmeldungen von allen Mitgliedern der Sicherheitsgemeinde werden sehr begrüßt und geschätzt. Dazu zählen Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner, Behörden, Industrieverbände und Lieferanten.

Viele Produkte der SICK AG erfüllen wichtige Schutzfunktionen und werden in kritischen Infrastrukturen eingesetzt. Die SICK AG bittet daher um die Zusammenarbeit im Rahmen einer koordinierten Offenlegung von Schwachstellen und gleichzeitig darum, von einer vorzeitigen Veröffentlichung von Schwachstelleninformationen abzusehen.

Es wird gebeten, so viele Informationen wie möglich in einer Meldung aufzuführen, um die Bearbeitung zu beschleunigen. Diese Informationen sollten Folgendes umfassen:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Modell- und Versionsnummern
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne?)
  • (Firmen-)Zugehörigkeit des Berichterstatters (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Falls für die Untersuchung einer Schwachstelle weitere Informationen nötig sind, kontaktiert das SICK PSIRT den Berichterstatter.

Auf Wunsch des Entdeckers wird dieser nach Offenlegung einer neuen Schwachstelle öffentlich gewürdigt.

Kontaktinformationen

Meldungen an das SICK PSIRT sind an diese Adresse zu richten:

  • psirt@sick.de (PGP Public Key mit Fingerprint: D441 9CE6 6F46 4D8C C017 520D 70D6 2CF8 AA9D 9E95)
  • Mögliche Sprachen: Deutsch und Englisch
  • Übermittlung: bevorzugt verschlüsselt

Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch. 

Das SICK PSIRT gibt gerne weitere Auskunft über seine Arbeitsweise oder zu allgemeinen Fragen in Bezug auf Schwachstellenmeldungen. Für alle anderen Anliegen ohne Sicherheitsbezug wird gebeten, den Kundendienst der SICK AG zu kontaktieren. Zu diesen Anfragen kann vom SICK PSIRT keine Auskunft gegeben werden.

Security Advisories

Security Advisories sind erst nach Login sichtbar.

Historie

10.12.2018 - Einführung des SICK PSIRT

Kontakt

SICK PSIRT – Ansprechpartner zur Cybersecurity von SICK-Produkten

psirt@sick.de

 

Meldungen sind in Deutsch oder Englisch möglich.

Security Advisories

SICK Security Advisories

Dokumente

PGP Public Key mit Fingerprint: D441 9CE6 6F46 4D8C C017 520D 70D6 2CF8 AA9D 9E95

Vulnerability Handling Guideline

Nach oben