Schweiz | deutsch

Security Incident Management

Warum ist Incident Management notwendig?

Sicherheitslücken in Software lassen sich nicht zu 100 % vermeiden. Wichtig ist es daher, dass wir Nutzer und Administratoren rechtzeitig über diese Lücken informieren, damit sie notwendige Gegenmaßnahmen ergreifen können, bevor ein Schaden entstehen kann. Damit dies geregelt funktioniert ist es wichtig ein entsprechendes Management inklusive eines Product Security Incident Response Team (PSIRT) im Unternehmen zu etablieren.

Was ist ein Security Advisory?

Ein Security-Advisory informiert über eine bestehende Sicherheitslücke in einem unserer Produkte und besteht typischerweise aus:

  • der Beschreibung der Schwachstelle,
  • einer Einschätzung der Kritikalität der Schwachstelle in Form eines CVSS*-Scores,
  • der Auflistung der betroffenen Produkte inklusive der Version,
  • möglichen Gegenmaßnahmen und ggf. Danksagungen diejenigen, die uns die Schwachstelle gemeldet haben.

*Das CVSS (Common Vulnerability Scoring System) ist ein weltweit anerkanntes Standardverfahren zur Bewertung der Kritikalität einer Schwachstelle. Aktuell liegt CVSS in der Version 3.0 vor. CVSSv3 definiert einen Score von 0-10. Mit 0 wird die niedrigste und mit 10 die höchste Kritikalität bewertet.

Security Advisory

Hier finden Sie die aktuellen Security Advisories.

Security Advisories

Das Pilz Product Security Incident Response Team

Pilz Product Security Incident Response Team

Die Security-Experten des Pilz PSIRT analysieren, bewerten und bearbeiten potenzielle Sicherheitsschwachstellen sowie Security-Vorfälle in Zusammenhang mit Produkten und Lösungen von Pilz. Wurde eine Schwachstelle bestätigt, veröffentlicht das Pilz PSIRT Security Advisories mit Hinweisen zur Behebung dieser Schwachstelle.

Wir möchten Sicherheitsexperten, unabhängige Forscher, Kunden und andere Akteure, dazu ermutigen uns Sicherheitsprobleme bei unseren Produkten und Lösungen zu melden. Nur so ist es uns möglich, weitere Aktivitäten gemeinsam zu besprechen, abzustimmen und die Security unserer Produkte und Lösungen zu verbessern. Um unsere Kunden und Unbeteiligte nicht zu gefährden, bitten wir um eine koordinierte Veröffentlichung von Schwachstellen unter Einbeziehung unseres PSIRT.

Pilz Incident Management Prozess

Bitte melden Sie Security-Probleme unserer Produkte und Lösungen verschlüsselt mit dem PGP Public Key an: security@pilz.com

Fügen Sie Ihrer Meldung bitte folgende Informationen bei:

  • Sachnummer des betroffenen Produkts
  • Geräte- und Firmware (soweit vorhanden)
  • Ggf. Exploit oder weitere Daten, die uns helfen das Problem nachzustellen
  • Hinweis darüber, ob die Verwundbarkeit bereits veröffentlicht wurde (durch Sie oder eine weitere Stelle)

1. Analysieren: Unser PSIRT untersucht die gemeldete Schwachstelle und wird bei Bedarf weitere Informationen vom Einreicher anfordern. Bitte beachten Sie, dass die Untersuchung je nach Komplexität der Schwachstelle und Art des Produkts einige Tage bis Wochen dauern kann. Unabhängig hiervon geben wir dem Einreicher spätestens nach 15 Werktagen die erste Rückmeldung.

2. Maßnahmen definieren: Abhängig von der Schwere der Schwachstelle und ggf. anderen Randbedingungen werden Updates vorbereitet. Im Falle einer gravierenden Schwachstelle bereitet Pilz ein Security Advisory vor. Während des Prozesses informieren wir den Einreicher regelmäßig über den Status.

3. Veröffentlichen: Das fertige Security Advisory und ggfs. zugehörige Patches werden hier veröffentlicht und stehen jedem Kunden zum Download zur Verfügung. Für den Download müssen Sie sich mit Ihrem Benutzernamen einloggen. Falls Sie noch kein Profil haben, können Sie sich hier kostenlos registrieren. Bitte beachten Sie, dass in Abhängigkeit der Schwere einer Schwachstelle Patches ggf. nur im Rahmen des produkttypischen Releasezyklus freigegeben werden.

Security Advisories

Mehr zu Industrial Security

Contact

Pilz lndustrieelektronik GmbH
Gewerbepark Hintermättli
5506 Mägenwil
Schweiz

Telefon: +41 62 88979 30
E-Mail: pilz@pilz.ch

Technischer Support

Telefon: +41 62 88979 32
E-Mail: techsupport@pilz.ch