AUMA PSIRT (Product Security Incident Response Team)

Das AUMA PSIRT (Product Security Incident Response Team) ist das zentrale Product Security Team der AUMA Riester GmbH & Co. KG, welches Meldungen über potentielle Sicherheitsschwachstellen von Produkten und Dienstleistungen von AUMA empfängt, bearbeitet und beantwortet. An das AUMA PSIRT können sämtliche Meldungen über potenzielle Sicherheitsschwachstellen im Zusammenhang mit AUMA Produkten und Dienstleistungen übermittelt werden.

 

Das AUMA PSIRT leitet die interne Untersuchung, koordiniert die hierdurch resultierenden Aktivitäten und übernimmt die Offenlegung von Hinweisen zu bestätigten Sicherheitsschwachstellen zu welchen Gegenmaßnahmen zur Abschwächung oder Behebung verfügbar sind.

 

[Translate to Deutsch:] AUMA PSIRT

Sicherheitslücken melden

Meldungen über potenzielle Sicherheitsschwachstellen sind ausdrücklich von jedem willkommen – hierzu zählen neben unseren direkten Kunden unter anderem z.B. auch Security Experten, Wissenschaftler CERTs (Computer Emergency Response Teams), Behörden, Industrieverbände, Lieferanten, Anlagenplaner oder -betreiber.

 

Eine Meldung an das AUMA PSIRT erfolgt über die hierfür eingerichtete E-Mail-Adresse PSIRT@auma.com.

 

Da einige unserer Produkte in kritischen Infrastrukturen eingesetzt werden, möchten wir Sie bitten, die Offenlegung von Sicherheitsschwachstellen mit uns abzustimmen. Hierdurch soll eine Gefährdung der Security Situation in Anlagen vermieden werden, bis unsere Entwicklungsteams geeignete Gegenmaßnahmen zur Behebung oder Abschwächung definiert und zur Verfügung gestellt haben.

 

Um mit uns zur Offenlegung von Sicherheitsschwachstellen zusammenzuarbeiten, ist weder eine Vertraulichkeitsvereinbarung (NDA) noch ein anderer Vertrag erforderlich. Unser Ziel ist es, beim Umgang mit potenziellen Sicherheitsschwachstellen in Zusammenhang mit AUMA Produkten und Dienstleistungen vertrauensvoll und professionell mit den jeweiligen Berichterstattern zusammenzuarbeiten.

 

Stellen Sie uns bitte in Ihrer Meldung per E-Mail die folgenden Informationen bereit, um die Bearbeitung zu beschleunigen:

 

  • Name des Melders: Falls Sie anonym bleiben möchten, respektieren wir Ihre Interessen
  • Kontaktdetails: E-Mail und Telefonnummer, unter der wir Sie für Rückfragen bzw. Rückmeldungen erreichen können
  • Zugehörigkeit: Name Ihrer Organisation (z.B. Firmenname)
  • Art der Sicherheitsschwachstelle: Beschreibung der Art der Sicherheitsschwachstelle (z.B. XSS, Pufferüberlauf, fest codierte Zugangsdaten …)
  • Auslöser der Sicherheitsschwachstelle: Beschreibung, wie die Sicherheitsschwachstelle ausgelöst werden kann (Tools, Prozesse, Abläufe, Nachweise, …)
  • Betroffenes Produkt: In welchen AUMA Produkten oder Diensten wurde die Sicherheitsschwachstelle entdeckt? Fügen Sie bitte alle Informationen ein, die Ihnen zur Verfügung stehen, wie Produktbezeichnung mit Auftrags- und Seriennummer, Firmware- oder Softwareversion, ggf. Betriebssystem der beteiligten Komponenten, geben Sie bei Diensten den jeweiligen Ort (z.B. URL) an
  • Auswirkung der Sicherheitsschwachstelle: Bitte beschreiben Sie, wie ein Angreifer die Sicherheitsschwachstelle ausnutzen könnte und welche Auswirkungen dies hätte.
  • CVSS Bewertung: Bewertung der Sicherheitsschwachstelle gemäß Common Vulnerability Scoring System (CVSS) – falls bekannt.
  • Vertraulichkeit von Sicherheitsschwachstellen: Wurde die Sicherheitsschwachstelle bereits offengelegt oder gibt es Pläne einer Offenlegung?

 

Bitte übermitteln Sie uns Ihre Meldung entweder in deutscher oder englischer Sprache.

Da Informationen zu Sicherheitsschwachstellen kritisch sind, möchten wir Sie bitten, uns diese Informationen verschlüsselt zu übermitteln. Verwenden Sie hierzu den folgenden PGP Schlüssel zum Verschlüsseln der Informationen, die Sie an  PSIRT@auma.com übermitteln.

AUMA PSIRT Public Keys

Hier können Sie unseren PGP Key herunterladen [LW1] [LW2] 

Fingerprint: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analyse und Lösung

Nach Erhalt der Meldung wird ein standardisierter Bearbeitungsprozess eingeleitet. Das AUMA PSIRT wird den Empfang der gemeldeten Sicherheitsschwachstelle bestätigen, die übermittelten Hinweise bewerten und analysieren sowie die erforderlichen Untersuchungen und Aktivitäten zur Lösungsfindung koordinieren - dies erfolgt in enger Abstimmung mit dem Berichterstatter der Sicherheitsschwachstelle.

Offenlegung

Die Veröffentlichung von Sicherheitshinweisen für AUMA Produkte und Dienstleistungen erfolgt über die öffentlich zugängliche IT-Sicherheitsplattform CERT@VDE, welche zur Koordination von Sicherheitsschwachstellen speziell für Unternehmen im Bereich der Industrieautomation geschaffen wurde.

 

Das AUMA PSIRT gibt Ihnen auch gerne weitere Auskunft zu generellen Fragen in Zusammenhang mit Security von AUMA Produkten und Dienstleistungen (bitte per E-Mail an PSIRT@auma.com).