Sicherheitslücken in Software lassen sich nicht zu 100 % vermeiden. Wichtig ist es daher, dass wir Nutzer und Administratoren rechtzeitig über diese Lücken informieren, damit sie notwendige Gegenmaßnahmen ergreifen können, bevor ein Schaden entstehen kann. Damit dies geregelt funktioniert ist es wichtig ein entsprechendes Management inklusive eines Product Security Incident Response Team (PSIRT) im Unternehmen zu etablieren.
Security Incident Management
Warum ist Incident Management notwendig?
Was ist ein Security Advisory?
Ein Security-Advisory informiert über eine bestehende Sicherheitslücke in einem unserer Produkte und besteht typischerweise aus:
- der Beschreibung der Schwachstelle,
- einer Einschätzung der Kritikalität der Schwachstelle in Form eines CVSS*-Scores,
- der Auflistung der betroffenen Produkte inklusive der Version,
- möglichen Gegenmaßnahmen und ggf. Danksagungen diejenigen, die uns die Schwachstelle gemeldet haben.
*Das CVSS (Common Vulnerability Scoring System) ist ein weltweit anerkanntes Standardverfahren zur Bewertung der Kritikalität einer Schwachstelle. Aktuell liegt CVSS in der Version 3.0 vor. CVSSv3 definiert einen Score von 0-10. Mit 0 wird die niedrigste und mit 10 die höchste Kritikalität bewertet.
Hier finden Sie die aktuellen Security Advisories.
Das Pilz Product Security Incident Response Team (PSIRT)
Die Security-Experten des Pilz PSIRT analysieren, bewerten und bearbeiten potenzielle Sicherheitsschwachstellen sowie Security-Vorfälle in Zusammenhang mit Produkten und Lösungen von Pilz. Wurde eine Schwachstelle bestätigt, veröffentlicht das Pilz PSIRT Security Advisories mit Hinweisen zur Behebung dieser Schwachstelle.
Wir möchten Sicherheitsexperten, unabhängige Forscher, Kunden und andere Akteure, dazu ermutigen uns Sicherheitsprobleme bei unseren Produkten und Lösungen zu melden. Nur so ist es uns möglich, weitere Aktivitäten gemeinsam zu besprechen, abzustimmen und die Security unserer Produkte und Lösungen zu verbessern. Um unsere Kunden und Unbeteiligte nicht zu gefährden, bitten wir um eine koordinierte Veröffentlichung von Schwachstellen unter Einbeziehung unseres PSIRT.
So erreichen Sie das Pilz PSIRT
Die Security-Spezialisten des Pilz PSIRT bearbeiten und bewerten alle Meldungen zu möglichen Security-Schwachstellen von Pilz Produkten. Wenn Sie Fragen zu Security haben, die unsere Produkte oder Infrastruktur betreffen, oder Sicherheitslücken melden möchten, wenden Sie sich bitte an unsere Security Experten des PSIRT. Bitte benachrichtigen Sie das PSIRT auf Deutsch oder Englisch. Eine erste Reaktion können Sie typischerweise innerhalb von zwei Werktagen (CET) erwarten.
Bitte melden Sie Security-Probleme unserer Produkte, Lösungen und Online-Dienste an:
Fügen Sie Ihrer Meldung bitte folgende Informationen bei:
- Sachnummer des betroffenen Produkts
- Geräte- und Firmware (soweit vorhanden)
- Ggf. Exploit oder weitere Daten, die uns helfen das Problem nachzustellen
- Hinweis darüber, ob die Verwundbarkeit bereits veröffentlicht wurde (durch Sie oder eine weitere Stelle)
Pilz Incident Management Prozess
1. Analysieren: Unser PSIRT untersucht die gemeldete Schwachstelle und wird bei Bedarf weitere Informationen vom Einreicher anfordern. Bitte beachten Sie, dass die Untersuchung je nach Komplexität der Schwachstelle und Art des Produkts einige Tage bis Wochen dauern kann. Unabhängig hiervon geben wir dem Einreicher spätestens nach 15 Werktagen die erste Rückmeldung.
2. Maßnahmen definieren: Abhängig von der Schwere der Schwachstelle und ggf. anderen Randbedingungen werden Updates vorbereitet. Im Falle einer gravierenden Schwachstelle bereitet Pilz ein Security Advisory vor. Während des Prozesses informieren wir den Einreicher regelmäßig über den Status.
3. Veröffentlichen: Das fertige Security Advisory und ggfs. zugehörige Patches werden hier veröffentlicht und stehen jedem Kunden zum Download zur Verfügung. Für den Download müssen Sie sich mit Ihrem Benutzernamen einloggen. Falls Sie noch kein Profil haben, können Sie sich hier kostenlos registrieren. Bitte beachten Sie, dass in Abhängigkeit der Schwere einer Schwachstelle Patches ggf. nur im Rahmen des produkttypischen Releasezyklus freigegeben werden.
Mehr zu Industrial Security
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Deutschland
Telefon: +49 711 3409-0
E-Mail: info@pilz.de
Telefon: +49 711 3409 444
E-Mail: techsupport@pilz.de