construction Kontakt Service email Allg. Kontakt public Kontakt Vertrieb travel_explore Kontakt Partner
construction email public travel_explore
Kontakt Service Allg. Kontakt Kontakt Vertrieb Kontakt Partner
Product Security Incident Response Team
DURAG Product Security Incident Response Team (DURAG PSIRT)
  2. Service
  3. DURAG PSIRT

Gemeinsam für mehr Sicherheit sorgen

Das DURAG PSIRT ist das zentrale Team für die Prüfung, Koordination und Offenlegung von Security-Schwachstellen von DURAG GROUP Produkten. Sämtliche Meldungen über potenzielle Schwachstellen oder sonstige Security-Vorfälle in Bezug auf entsprechend zertifizierte Produkte der DURAG GROUP können direkt an das DURAG PSIRT gemeldet werden.

Der Umgang mit Schwachstellen wird im Dokument „Vulnerability Handling Guideline“ beschrieben.

Für bestätigte Schwachstellen wird ein Security-Hinweis veröffentlicht, sobald eine Lösung verfügbar ist. Wenn es die Situation erforderlich macht, wird bereits vor der Verfügbarkeit eines Updates ein Security-Hinweis mit zu ergreifenden Maßnahmen herausgegeben.

Für Produkte und Dienstleistungen der DURAG GROUP erheben wir höchste Qualitätsanforderungen. Meldungen zu Security-Schwachstellen der Produkte und Dienstleistungen werden sehr ernst genommen und verantwortungsvoll behandelt. Durch die Meldung von potenziellen Schwachstellen können wir diese beheben und Kunden mit betroffenen Produkten informieren. Das Aufdecken und Melden von Schwachstellen trägt somit zur kontinuierlichen Verbesserung und Erhöhung der Sicherheit der Produkte und Dienstleistungen bei.
 

Schwachstellen melden

Das DURAG PSIRT begrüßt Schwachstellenmeldungen von jedermann, unabhängig vom Kundenstatus, und untersucht sie gewissenhaft. Für die Zusammenarbeit ist weder eine Geheimhaltungsvereinbarung noch ein anderweitiger Vertrag Voraussetzung oder notwendig.

Um eine zeitnahe und effiziente Bearbeitung der Schwachstellenmeldung zu gewährleisten, bitten wir die Berichterstattenden der Schwachstellenmeldung mindestens die folgenden Informationen beizufügen:

  • Kontaktinformationen und Erreichbarkeit
  • Betroffenes Produkt inklusive Modell- und Versionsnummern
  • Klassifizierung der Schwachstelle (Buffer-Overflow, XSS, …)
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich mit einem Nachweis, CWE-ID oder CVE-ID falls verfügbar)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Pläne für die Offenlegung?)
  • (Firmen-) Zugehörigkeit der/des Berichterstattenden (falls Auskunftsbereitschaft vorliegt)
  • CVSS-Score (falls bekannt)

Sollten weitere Informationen für die Untersuchung der potentiellen Schwachstelle erforderlich sein, wird das DURAG PSIRT mit dem/der Berichterstattenden in Verbindung treten.

Auf Wunsch der/des Berichterstattenden kann dieser nach Offenlegung einer neuen Schwachstelle öffentlich gewürdigt werden.

Kontaktinformationen

Meldungen an das DURAG PSIRT sind an die folgende Adresse zu richten:

Zum Schutz sensibler Informationen und Daten werden verschlüsselte Meldungen bevorzugt. Akzeptiert werden die Sprachen Deutsch und Englisch.

Wir veröffentlichen das S/MIME Zertifikat / den öffentlichen PGP Schlüssel für das DURAG PSIRT auf openkeys.de:

Zu allgemeinen Fragen und zur Arbeitsweise in Bezug auf Security Schwachstellenmeldungen kann das DURAG PSIRT gerne kontaktiert werden. Für alle anderen Anliegen ohne Security-Bezug wird gebeten, den Service und Support der DURAG GROUP zu kontaktieren.

Kooperation / Koordination

Wir kooperieren mit dem CERT@VDE, der ersten Plattform zur Koordination von IT-Security-Schwachstellen im Bereich der Automatisierung.

VDE Cert Logo

Security Advisories

Wir veröffentlichen unsere Security-Hinweise zusammen mit anderen Unternehmen auf der Website des CERT@VDE. Unter nachfolgendem Link finden Sie Schwachstellenhinweise zu DURAG GROUP Produkten oder aktualisierte Security Advisories:
https://cert.vde.com/de/advisories/vendor/durag/