Die Produkte und Dienstleistungen von Kendrion unterliegen höchsten Qualitätsanforderungen. Bereits während der Entwicklung wird daher auch die Cybersicherheit berücksichtigt und geprüft. Um diese über den gesamten Lebenszyklus der Produkte und Dienstleistungen zu gewährleisten, werden Meldungen über mögliche Schwachstellen sehr ernst genommen und verantwortungsvoll behandelt. Das Aufdecken von Schwachstellen wird als gemeinsame Anstrengung verschiedenster Parteien verstanden, mit dem Ziel, unseren Kunden ein durchgängig hohes Sicherheitsniveau zu bieten.
Kendrion Product Security Incident Response Team (PSIRT@kendrion.com)
PSIRT@kendrion.com ist das zentrale Team von Kendrion, das für die Beantwortung von Meldungen und die Bereitstellung von Informationen zur Cybersicherheit von Produkten, Lösungen und Dienstleistungen zuständig ist. Alle Meldungen über potenzielle Schwachstellen oder andere Sicherheitsvorfälle im Zusammenhang mit Produkten von Kendrion können an PSIRT@kendrion.com gesendet werden.
PSIRT@kendrion.com steuert die Untersuchung, interne Koordination und Veröffentlichung von Sicherheitsschwachstellen. Für bestätigte Schwachstellen wird ein Sicherheitshinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erfordert, wird bereits vor der Verfügbarkeit eines Updates ein Sicherheitshinweis mit zu ergreifenden Maßnahmen veröffentlicht.
Unsere CVD (Coordinated Vulnerability Disclosure Policy) finden Sie hier:
Kooperation mit CERT@VDE
Als erste IT-Sicherheitsplattform zur Unterstützung kleiner und mittlerer Unternehmen (KMU) der Automatisierungsbranche in IT-Sicherheitsfragen ermöglicht CERT@VDE einen offenen fachlichen Austausch über Sicherheitsstandards und -risiken. Kendrion ist einer der Kooperationspartner und informiert auf der Plattform über sicherheitsrelevante Vorfälle oder potenzielle Schwachstellen. CERT@VDE bietet damit eine zentrale Plattform, über die bisher isolierte Informationen gebündelt, strukturiert und verteilt werden. Kendrion veröffentlicht über CERT@VDE auftretende Schwachstellen und nimmt diese entgegen. Kunden erhalten über diese zentrale Anlaufstelle Informationen über sicherheitsrelevante Vorfälle, wie z.B. Schwachstellen in eigenen Produkten oder Cyber-Angriffe. Auf diese Weise leistet Kendrion einen wichtigen Beitrag zur Verbesserung der Cyber-Sicherheit beim Betrieb von Kendrion-Produkten.
Melden einer Schwachstelle
Berichte über potenzielle Schwachstellen oder andere Vorfälle sind ausdrücklich von jedem willkommen, unabhängig vom Kundenstatus. Kendrion respektiert und berücksichtigt die unterschiedlichen Interessen der Meldenden und ermutigt dazu, Informationen an PSIRT@kendrion.com zu senden. Der Prozess zur koordinierten Offenlegung von Schwachstellen (Vulnerability Disclosure Policy) wird befolgt. Diese finden Sie hier:
PSIRT@kendrion.com beabsichtigt, zusammen mit den jeweiligen Berichterstattern jede Schwachstellenmeldung vertrauensvoll und professionell zu bearbeiten. Eine Geheimhaltungsvereinbarung (NDA) oder ein anderer Vertrag ist für die Zusammenarbeit weder notwendig noch Voraussetzung.
Koordinierte Schwachstellenmeldungen von allen Mitgliedern der Sicherheitsgemeinschaft sind sehr willkommen und geschätzt. Dazu gehören Sicherheitsforscher, Universitäten, CERTs, Geschäftspartner, Behörden, Industrieverbände und Lieferanten.
Viele Produkte von Kendrion erfüllen wichtige Schutzfunktionen und werden teilweise in kritischen Infrastrukturen eingesetzt. Kendrion bittet daher um Kooperation im Rahmen einer koordinierten Offenlegung von Schwachstellen und gleichzeitig um Verzicht auf eine vorzeitige Veröffentlichung von Schwachstelleninformationen.
Es wird darum gebeten, so viele Informationen wie möglich in einer Meldung anzugeben, um die Bearbeitung zu beschleunigen. Folgende Informationen sollten enthalten seinle Informationen wie möglich in einer Meldung aufzuführen, um die Bearbeitung zu beschleunigen. Diese Informationen sollten Folgendes umfassen:
- Kontaktdaten und Erreichbarkeit
- Betroffenes Produkt inklusive Modell- und Versionsnummern
- Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
- Detaillierte Beschreibung der Schwachstelle (wenn möglich, mit einem Nachweis)
- Auswirkung der Schwachstelle (falls bekannt)
- Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Pläne zur Veröffentlichung?)
- (Firmen-)Zugehörigkeit des Meldenden (falls Auskunftsbereitschaft vorliegt)
- CVSS-Score (falls bekannt)
- Sollten weitere Informationen zur Untersuchung einer Schwachstelle benötigt werden, wird sich PSIRT@kendrion.com mit dem Meldenden in Verbindung setzen.
- Auf Wunsch des Entdeckers wird dieser nach der Offenlegung einer neuen Schwachstelle öffentlich gewürdigt.
- PSIRT@kendrion.com
Sie haben eine Schwachstelle in einem Kendrion-Produkt entdeckt und möchten diese melden?
Schicken Sie uns bitte eine PGP-verschlüsselte Mail an die untenstehende Adresse Emailpsirt@kendrion.com
PGP-Schlüssel ID 642D 4313 download
PGP-Fingerabdruck 214E A7EB 7CA2 26A3 F98E 6598 DE87 EDF4 642D 4313
Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch. - cert@VDE
PSIRT@kendrion.com gibt gerne weitere Auskunft über seine Arbeitsweise oder zu allgemeinen Fragen in Bezug auf Schwachstellenmeldungen. Für alle anderen Anliegen ohne Sicherheitsbezug wird gebeten, den Kundendienst von Kendrion über sales-ics@kendrion.com zu kontaktieren. Zu diesen Anfragen kann vom PSIRT@kendrion.com keine Auskunft gegeben werden.
Aktuelles
Aktuelle Meldungen zu Schwachstellen in Kendrion-Produkten und Security-Advisories finden Sie auf der Seite von CERT@VDE.
Weitere Informationen
Unter folgenden externen Links finden Sie weitere Informationen zum Thema:
- European Commission - Cyber Resiliens Act
https://digital-strategy.ec.europa.eu/de/library/cyber-resilience-act - European Commission - NIS 2 Directive
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive - VDE CERT
https://certvde.com/de - VDMA – Cyber security
https://www.vdma.org/cybersecurity - BDI - Cyber Resiliens Act
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html - CODESYS SECURITY
https://de.codesys.com/ecosystem/security/
