Meldung von Sicherheitslücken
Bei SYS TEC electronic legen wir großen Wert auf die Sicherheit unserer Produkte. Dennoch ist allgemein bekannt, dass kein Produkt und kein Kundensystem zu 100 % sicher sein kann – unabhängig davon, wie viel Aufwand in die Produktsicherheit investiert wird. SYS TEC electronic möchte über alle potenziellen Sicherheitsprobleme informiert werden, die unsere Produkte betreffen, damit wir die notwendigen Maßnahmen ergreifen können, um diese umgehend zu beheben. Das Product Security Incident Response Team (PSIRT) von SYS TEC electronic überwacht den Prozess der Entgegennahme und Bearbeitung von Meldungen über potenzielle Sicherheitslücken, die unsere Produkte betreffen, einschließlich Hardware, Software und Dokumentation.
Das Computer Security Incident Response Team (CSIRT) von SYS TEC electronic AG übernimmt diese Aufgabe für interne Themen und unsere Webseite.
So melden Sie eine potenzielle Sicherheitslücke
Sie können sich unter psirt@systec-electronic.com an das SYS TEC electronic PSIRT wenden und unter csirt@systec-electronic.com an unser CSIRT, um eine potenzielle Sicherheitslücke zu melden. Ihre Meldung sollte in deutscher oder englischer Sprache verfasst sein. SYS TEC electronic wird Ihnen zeitnah eine Empfangsbestätigung für Ihre E-Mail zusenden.
Informationen zu Sicherheitslücken sind äußerst sensibel. Wir empfehlen dringend, alle eingereichten Berichte zu Sicherheitslücken verschlüsselt unter Verwendung des SYS TEC electronic PGP/GPG-Schlüssels zu versenden: SYS TEC electronic PGP/GPG-Schlüssel
Informationen, die Sie in Ihrem Bericht angeben sollten
Um uns die Einstufung der potenziellen Sicherheitslücke zu erleichtern, empfehlen wir Ihnen, die folgenden Informationen anzugeben:
- Potenziell betroffene Hardware- oder Softwareprodukte (einschließlich Version oder Revision)
- Wie und wann die potenzielle Sicherheitslücke entdeckt wurde und von wem
- Technische Beschreibung der potenziellen Sicherheitslücke, soweit bereits bekannt einschließlich aller damit verbundenen (1) bekannten Exploits und (2) vorhandenen CVE-IDs
- Ihre Kontaktdaten, damit unsere Teams Ihnen bei Bedarf weitere Fragen stellen kann
Prozess zur Bearbeitung von Meldungen
Nach der Einreichung durchläuft SYS TEC electronic den folgenden Prozess, um die potenzielle Sicherheitslücke zu bewerten und darauf zu reagieren:
- Benachrichtigung: SYS TEC electronic wird auf eine potenzielle Sicherheitslücke aufmerksam.
- Erste Einstufung: SYS TEC electronic prüft die Meldung, um festzustellen, ob ein SYS TEC electronic Produkt oder Dienst betroffen sein könnte und ob ausreichende Informationen bereitgestellt wurden.
- Technische Analyse: SYS TEC electronic untersucht die gemeldete potenzielle Sicherheitslücke eingehender.
- Behebung: SYS TEC electronic ergreift geeignete Maßnahmen für bestätigte Sicherheitslücken in Produkten und Diensten
- Offenlegung: Gegebenenfalls legt SYS TEC electronic Informationen über die bestätigte Sicherheitslücke offen und stellt die Behebungsmaßnahmen zur Verfügung.
Responsible Disclosure Policy
Wie die meisten Unternehmen in der Technologiebranche verfolgt auch SYS TEC electronic eine Responsible Disclosure Policy. Unsere Richtlinie beschreibt, was Sie von SYS TEC electronic erwarten können und was wir von Ihnen erwarten. Sie basiert auf dem CERT® Guide to Coordinated Vulnerability Disclosure. Bevor Sie einen Bericht einreichen, lesen Sie bitte unsere Richtlinie durch, da sie die Grundlage unserer Beziehung zu Ihnen beschreibt.
