Mit der fortschreitenden Digitalisierung verändert sich die Energiebranche rasant. Moderne Energienetze werden komplexer, vernetzter und dadurch auch anfälliger für Cyberangriffe. Gleichzeitig steigen die Anforderungen an ein zuverlässiges Datenmanagement und höchste Datensicherheit.
Als führender Anbieter innovativer Lösungen denken wir IT- und Cybersicherheit von Anfang an mit. Unsere Produkte sind speziell für den Einsatz in kritischen Infrastrukturen entwickelt und erfüllen strengste Sicherheitsstandards. So unterstützen wir Netzbetreiber dabei, ihre Systeme nachhaltig zu schützen, Ausfallsicherheit zu erhöhen und die digitale Transformation erfolgreich voranzutreiben.
Product Security Incident Response Team (PSIRT)
Um angemessen auf jegliche Meldung über potenzielle Cybersecurity Schwachstellen reagieren zu können, hat SAE entsprechende Prozesse und Maßnahmen etabliert. Eine dieser Maßnahmen ist der Einsatz eines Product Security Incident Response Teams (PSIRT), welches sich kontinuierlich um Schwachstellenmeldungen kümmert und für die korrekte Adressierung und Nachverfolgen verantwortlich ist.
Kontakt
verschlüsselte E-Mail: psirt.sae@lacroix.group
S/MIME Public Key Download
Wenn Sie uns über eine Schwachstelle informieren möchten, bitten wir Sie folgende Informationen bereit zu stellen:
- Kontaktdaten des „Melders“ (Name, Firma, E-Mail, Telefon, …)
- Beschreibung der Schwachstelle
- Betroffenes Produkt, Software- / Firmware Version
- Vermutung, ob Schwachstelle bereits ausgenutzt wird
- Hinweis, ob es bereits einen Exploit gibt
- Auswirkung der Schwachstelle
- Angabe, ob man als Entdecker der Schwachstelle genannt werden will
- Kommentar
- Datei (zum Upload) mit weiteren Informationen z.B., wenn es schon eine Tracking ID gibt
Prozess
Sicherheitsmeldung
Sobald eine Meldung über eine potentielle Cybersecurity Schwachstelle bei dem LACROIX SAE PSIRT eingegangen ist, erfolgt die Eingangsbestätigung innerhalb von 7 Arbeitstagen an den in der Meldung hinterlegten Kontakt.
Erste Bewertung
Das LACROIX SAE PSIRT analysiert die in der Meldung beschriebene Schwachstelle, ihren Schweregrad und ihre Auswirkung auf SAE Produkte. Je nach Komplexität der beschriebenen Schwachstelle werden Rückfragen an den in der Meldung hinterlegten Kontakt gestellt. Nach spätestens 14 Arbeitstagen nach der Eingangsbestätigung wird durch das LACROIX SAE PSIRT ein vorläufiger Bericht über die Schwachstellenmeldung erstellt und über einen zuvor vereinbarten, sicheren Kommunikationsweg mit dem in der Meldung hinterlegten Kontakt geteilt.
Untersuchung
Das LACROIX SAE PSIRT arbeitet eng mit den entsprechenden Entwicklungsabteilungen und den Zulieferern von 3rd Party Komponenten zusammen, um die Ursachen der gemeldeten Sicherheitslücken zu identifizieren. Der in der Meldung hinterlegten Kontakt wird über fortschritte in dieser Phase informiert.
Behebung
Das LACROIX SAE PSIRT Arbeitet mit den Entwicklungsabteilungen zusammen, um eine finale Behebung der Schwachstelle bereitstellen zu können. Falls durch die gemeldete Schwachstelle ein hohes Risiko für Kunden von SAE besteht und eine finale Behebung zu viel Zeit in Anspruch nimmt, werden durch LACROIX SAE temporäre Maßnahmen veröffentlicht. Der in der Meldung hinterlegten Kontakt wird über den den geplanten Erfüllungshorizont informiert.
Offenlegung
Das LACROIX SAE PSIRT veröffentlicht die relevanten Informationen zu der gemeldeten Schwachstelle und entsprechende Patches oder Maßnahmen in der Sektion für Sicherheitsmeldungen auf der Webseite.
Disclaimer
LACROIX SAE behält sich vor, den hier beschriebenen Prozess jeder Zeit zu verändern oder aus gegebenem Anlass von dem Prozess abzuweichen.
Schwachstellenmeldungen
Hier finden Sie Informationen zu aktuellen Security-Themen sowie den entsprechenden Produkten von LACROIX SAE – inklusive unserer neuesten Security-Alerts.