Kontakt
Feedback

SICK Product Security Incident Response Team (SICK PSIRT)

SICK Security Advisories

Für Produkte und Dienste der SICK AG gelten höchste Qualitätsanforderungen. Bereits während der Entwicklung wird deshalb auch die Cybersecurity berücksichtigt und geprüft. Damit diese über die gesamte Lebensdauer der Produkte und Dienste hinweg gegeben ist, werden Meldungen zu möglichen Schwachstellen sehr ernst genommen und ein verantwortungsvoller Umgang damit gepflegt. Das Aufdecken von Schwachstellen wird als ein gemeinsames Bestreben verschiedenster Parteien verstanden, mit dem Ziel unseren Kunden durchgängig ein hohes Sicherheitsniveau zu bieten.

Das SICK Product Security Incident Response Team (SICK PSIRT)

Das SICK PSIRT ist das zentrale Team der SICK AG, das berechtigt ist, Meldungen zur Cybersecurity von Produkten, Lösungen und Diensten zu beantworten und Informationen bereitzustellen. Alle Meldungen zu potenziellen Schwachstellen oder anderen Sicherheitsvorfällen im Zusammenhang mit Produkten der SICK AG können an das SICK PSIRT übermittelt werden.

Das SICK PSIRT steuert die Untersuchung, interne Koordination und Offenlegung von Sicherheitsschwachstellen. Für bestätigte Schwachstellen wird ein Sicherheitshinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erforderlich macht, wird bereits vor der Verfügbarkeit eines Updates ein Sicherheitshinweis mit zu ergreifenden Maßnahmen herausgegeben.

Meldungen zu potenziellen Schwachstellen oder anderen Vorfällen sind ausdrücklich von jedem willkommen – unabhängig von einem etwaigen Kundenstatus. Die SICK AG respektiert und berücksichtigt die verschiedenen Interessen eines Berichterstatters und ermutigt zur Meldung von Informationen an das SICK PSIRT. Es wird dabei dem Prozess einer koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure) gefolgt.

Der Umgang mit Schwachstellen wird im Dokument „Vulnerability Handling Guideline“ beschrieben.

Melden einer Schwachstelle

Das SICK PSIRT hat die Absicht, zusammen mit den jeweiligen Berichterstattern jede Schwachstellenmeldung vertrauensvoll und professionell zu bearbeiten. Für eine Zusammenarbeit ist weder eine Geheimhaltungsvereinbarung (NDA) noch ein anderer Vertrag notwendig oder Voraussetzung.

Koordinierte Schwachstellenmeldungen von allen Mitgliedern der Sicherheitsgemeinde werden sehr begrüßt und geschätzt. Dazu zählen Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner, Behörden, Industrieverbände und Lieferanten.

Viele Produkte der SICK AG erfüllen wichtige Schutzfunktionen und werden in kritischen Infrastrukturen eingesetzt. Die SICK AG bittet daher um die Zusammenarbeit im Rahmen einer koordinierten Offenlegung von Schwachstellen und gleichzeitig darum, von einer vorzeitigen Veröffentlichung von Schwachstelleninformationen abzusehen.

Es wird gebeten, so viele Informationen wie möglich in einer Meldung aufzuführen, um die Bearbeitung zu beschleunigen. Diese Informationen sollten Folgendes umfassen:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Modell- und Versionsnummern
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne?)
  • (Firmen-)Zugehörigkeit des Berichterstatters (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Falls für die Untersuchung einer Schwachstelle weitere Informationen nötig sind, kontaktiert das SICK PSIRT den Berichterstatter.

Auf Wunsch des Entdeckers wird dieser nach Offenlegung einer neuen Schwachstelle öffentlich gewürdigt.

Kontaktinformationen

Meldungen an das SICK PSIRT sind an diese Adresse zu richten:

  • psirt@sick.de (PGP Public Key mit Fingerprint: 4F9C D277 E14B 6CF4 BCAC B9D8 6D52 84FF 953B CF22)
  • Mögliche Sprachen: Deutsch und Englisch
  • Übermittlung: bevorzugt verschlüsselt

Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch. 

Das SICK PSIRT gibt gerne weitere Auskunft über seine Arbeitsweise oder zu allgemeinen Fragen in Bezug auf Schwachstellenmeldungen. Für alle anderen Anliegen ohne Sicherheitsbezug wird gebeten, den Kundendienst der SICK AG zu kontaktieren. Zu diesen Anfragen kann vom SICK PSIRT keine Auskunft gegeben werden.

Security Advisories

  • 2020
    ID Titel CVSS Score Produkte Datum Download (PDF) Signatur
    SCA-2020-0001 Security information regarding "Profile Programming" - CLV62x ... CLV65x 31.05.2020 Download Download
    SCA-2020-0002 Vulnerabilities in SICK Package Analytics 9.1 SICK Package Analytics 28.07.2020 Download Download
    SCA-2020-0003 MEAC AFFECTED BY WINDOWS SMB3 VULNERABILITY 10.0 SICK MEAC2020 & MEAC300 07.08.2020 Download Download
    SCA-2020-0004 Vulnerability in platform mechanism AutoIP 7.5 Bulkscan LMS111 Bulkscan LMS511 CLV62x – CLV65x ICR890-3 LMS10x, LMS11x, LMS15x LMS12x, LMS13x, LMS14x LMS5xx, LMS53x MSC800 RFH 31.08.2020 Download Download
    SCA-2020-0005 Package Analytics affected by Windows TCP/IP vulnerability 8.8 Package Analytics versions 4.0 <= 4.1.2 29.10.2020 Download Download

     

  • 2019
    ID Titel CVSS Score Produkte Datum Download (PDF) Signatur
    SCA-2019-0001 Use of hard-coded credentials in MSC800 9.8 MSC800 all versions 24.06.2019 Download Download
    SCA-2019-0002 Vulnerability in FX0-GENT00000 and FX0-GPNT00000 7.5 FX0-GPNT00000 (1044074) FX0-GENT00000 (1044072) 20.09.2019 Download Download

     

Historie

24.09.2020 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

18.10.2019 - Aktualisierung des PGP Public Key. Der vorherige Schlüssel kann hier geladen werden.

10.12.2018 - Einführung des SICK PSIRT

Kontakt

SICK PSIRT – Ansprechpartner zur Cybersecurity von SICK-Produkten

psirt@sick.de

 

Meldungen sind in Deutsch oder Englisch möglich.

Security Advisories

SICK Security Advisories

Wenn Sie RSS bevorzugen, um auf dem Laufenden zu bleiben, abonnieren Sie unseren Feed:

All SICK Security Advisories

Dokumente

PGP Public Key mit Fingerprint: 4F9C D277 E14B 6CF4 BCAC B9D8 6D52 84FF 953B CF22

Vulnerability Handling Guideline

Anerkennungen

Acknowledgments

Weitere Informationen

BSI

ICS-Cert

ISA

IEC

Nach oben