Sicherheitsrichtlinie
Diese Seite beschreibt, wie Sie eine vermutete Sicherheitsschwachstelle in MicroControl-Produkten melden können und wie wir mit solchen Meldungen umgehen.
Meldung einer Sicherheitsschwachstelle
Wenn Sie der Meinung sind, eine Sicherheitsschwachstelle in einem MicroControl-Produkt, einer Firmware, einer Softwarekomponente, einem Dokumentationspaket oder einem Online-Dienst entdeckt zu haben, kontaktieren Sie uns bitte unter:
E-Mail: incident (at) microcontrol.net
Bitte geben Sie so viele Informationen wie möglich an, damit wir das Problem verstehen, reproduzieren und bewerten können. Hilfreiche Informationen sind:
– Name und Produkt-ID des betroffenen Produkts
– Firmware-, Software- oder Hardwareversion
– Seriennummer oder Gerätevariante, sofern relevant
– Beschreibung der Schwachstelle
– Schritte zur Reproduktion des Problems
– Proof-of-Concept-Code, Protokolle, Screenshots oder Paketmitschnitte, sofern vorhanden
– Mögliche Auswirkungen
– Ob das Problem bereits öffentlich bekannt ist
– Ihre Kontaktdaten für Rückfragen
Bitte fügen Sie keine sensiblen Kundendaten, personenbezogenen Daten, Passwörter, privaten Schlüssel oder vertraulichen Drittanbieterinformationen bei, sofern dies nicht unbedingt erforderlich ist.
Geltungsbereich
Diese Richtlinie gilt für Sicherheitsschwachstellen in MicroControl-Produkten und verwandten digitalen Ressourcen, einschließlich, aber nicht beschränkt auf:
– Eingebettete Geräte und elektronische Steuerprodukte
– Firmware- und Bootloader-Komponenten
– Konfigurationswerkzeuge und zugehörige Software
– Produktdokumentation, soweit sicherheitsrelevante Informationen betroffen sind
– Öffentliche MicroControl-Webdienste
Diese Richtlinie deckt keine allgemeinen technischen Supportanfragen, Funktionsanfragen, Fragen zur Produktverfügbarkeit oder nicht sicherheitsrelevanten Fehler ab. Für diese Themen nutzen Sie bitte die regulären Kontaktkanäle auf unserer Website.
Koordinierte Offenlegung von Schwachstellen
Wir folgen einem koordinierten Prozess zur Offenlegung von Schwachstellen. Nach Eingang einer Meldung prüfen wir die Informationen, validieren das Problem, bewerten die potenziellen Auswirkungen und legen geeignete Maßnahmen zur Behebung oder Minderung fest.
Wir bitten Melder, uns angemessene Zeit zu geben, das Problem zu untersuchen und zu beheben, bevor Informationen veröffentlicht werden. Wir bitten Sie außerdem, Handlungen zu vermeiden, die MicroControl, unsere Kunden oder Dritte schädigen könnten, darunter:
– Zugriff auf, Änderung oder Löschung von Daten, die Ihnen nicht gehören
– Unterbrechung von Diensten oder Produktionssystemen
– Durchführung von Denial-of-Service-Tests
– Einsatz von Social Engineering, Phishing oder physischen Angriffen
– Öffentliche Bekanntgabe von Schwachstellendetails vor Abschluss der Koordinierung
Was Sie von uns erwarten können
Wenn Sie MicroControl eine Schwachstelle melden, bemühen wir uns:
– den Eingang Ihrer Meldung innerhalb angemessener Zeit zu bestätigen
– Sie gegebenenfalls über den Stand unserer Analyse auf dem Laufenden zu halten
– mit Ihnen zusammenzuarbeiten, um das Problem zu verstehen und zu reproduzieren
– betroffene Produkte, Versionen und Konfigurationen zu bewerten
– Informationen zur Behebung, Minderung oder zu Workarounds bereitzustellen, sofern zutreffend
– die öffentliche Bekanntmachung bei Bedarf zu koordinieren
– Ihnen die Anerkennung für die Meldung zukommen zu lassen, sofern Sie dies wünschen und es rechtlich und praktisch möglich ist
Reaktions- und Behebungsfristen hängen von der Komplexität des Problems, den betroffenen Produkten, Sicherheitsaspekten, Kundenauswirkungen, Lieferkettenabhängigkeiten und regulatorischen Anforderungen ab.
Sicherheitshinweise
Wenn eine Schwachstelle MicroControl-Produkte betrifft und Maßnahmen des Kunden erfordert, können wir einen Sicherheitshinweis veröffentlichen.
Sicherheitshinweise können enthalten:
– Namen und Produkt-IDs betroffener Produkte
– Betroffene Firmware- oder Softwareversionen
– Beschreibung der Schwachstelle
– Schweregradbewertung, z. B. CVSS, soweit zutreffend
– Informationen zur Behebung, Minderung oder zu Workarounds
– Verweise auf CVE-Kennungen, sofern zugewiesen
– Revisionshistorie
Wo es angemessen ist, kann MicroControl maschinenlesbare Sicherheitshinweise im CSAF-Format bereitstellen.
CSAF-Anbietermetadaten sind, soweit verfügbar, zu finden unter:
https://www.microcontrol.net/.well-known/csaf/provider-metadata.json
Produkt-Updates und Behebung
Abhängig vom betroffenen Produkt und der Schwachstelle kann die Behebung eines oder mehrere der folgenden Elemente umfassen:
– Firmware-Update
– Software-Update
– Konfigurationsänderung
– Empfehlung zur Netzwerksegmentierung
– Betriebliche Minderungsmaßnahme
– Produktspezifischer Workaround
– Kundenbenachrichtigung oder Sicherheitshinweis
Kunden sind dafür verantwortlich, Updates oder Minderungsmaßnahmen in ihrer eigenen Betriebsumgebung zu bewerten und anzuwenden. In industriellen und eingebetteten Umgebungen sollten Updates gemäß den Sicherheits-, Verfügbarkeits- und Wartungsanforderungen des Kunden getestet und eingesetzt werden.
Umgang mit Schwachstellen und Kommunikation
MicroControl kann die Bearbeitung von Schwachstellen gegebenenfalls mit Kunden, Lieferanten, CERTs, CVE-Nummerierungsbehörden, Branchenpartnern oder Regulierungsbehörden koordinieren.
Wenn eine Schwachstelle Komponenten von Drittanbietern, Open-Source-Software oder von Lieferanten bereitgestellte Technologien betrifft, können wir uns mit der verantwortlichen Partei abstimmen, bevor wir abschließende Informationen veröffentlichen.
Haftungsausschluss
Informationen, die im Rahmen dieser Sicherheitsrichtlinie bereitgestellt werden, einschließlich Hinweise, Minderungsmaßnahmen und Empfehlungen, werden in gutem Glauben und zu Informationszwecken bereitgestellt. Sie begründen keine zusätzliche Garantie, Gewährleistung oder vertragliche Verpflichtung über die geltenden Produktvereinbarungen und gesetzlichen Anforderungen hinaus.
Kontakt
Für Meldungen von Sicherheitsschwachstellen wenden Sie sich bitte an:
MicroControl GmbH & Co. KG
Sicherheitskontakt
E-Mail: incident@microcontrol.net
Website: https://www.microcontrol.net
Für allgemeine Anfragen nutzen Sie bitte die auf unserer Website angebotenen Kontaktmöglichkeiten.