LACROIX

Product Security Incident Response Team

Um angemessen auf jegliche Meldung über potenzielle Cybersecurity Schwachstellen reagieren zu können, hat SAE entsprechende Prozesse und Maßnahmen etabliert. Eine dieser Maßnahmen ist der Einsatz eines Product Security Incident Response Teams (PSIRT), welches sich kontinuierlich um Schwachstellenmeldungen kümmert und für die korrekte Adressierung und Nachverfolgen verantwortlich ist.

Kontakt
verschlüsselte E-Mail: psirt@sae-it.de
S/MIME Public Key Download

Wenn Sie uns über eine Schwachstelle informieren möchten, bitten wir Sie folgende Informationen bereit zu stellen:

  • Kontaktdaten des „Melders“ (Name, Firma, E-Mail, Telefon, …)
  • Beschreibung der Schwachstelle
  • Betroffenes Produkt, Software- / Firmware Version
  • Vermutung, ob Schwachstelle bereits ausgenutzt wird
  • Hinweis, ob es bereits einen Exploit gibt
  • Auswirkung der Schwachstelle
  • Angabe, ob man als Entdecker der Schwachstelle genannt werden will
  • Kommentar
  • Datei (zum Upload) mit weiteren Informationen z.B., wenn es schon eine Tracking ID gibt

Prozess

Sicherheitsmeldung
Sobald eine Meldung über eine potentielle Cybersecurity Schwachstelle bei dem SAE PSIRT eingegangen ist, erfolgt die Eingangsbestätigung innerhalb von 7 Arbeitstagen an den in der Meldung hinterlegten Kontakt.

Erste Bewertung
Das SAE PSIRT analysiert die in der Meldung beschriebene Schwachstelle, ihren Schweregrad und ihre Auswirkung auf SAE Produkte. Je nach Komplexität der beschriebenen Schwachstelle werden Rückfragen an den in der Meldung hinterlegten Kontakt gestellt. Nach spätestens 14 Arbeitstagen nach der Eingangsbestätigung wird durch das SAE PSIRT ein vorläufiger Bericht über die Schwachstellenmeldung erstellt und über einen zuvor vereinbarten, sicheren Kommunikationsweg mit dem in der Meldung hinterlegten Kontakt geteilt.

Untersuchung
Das SAE PSIRT arbeitet eng mit den entsprechenden Entwicklungsabteilungen und den Zulieferern von 3rd Party Komponenten zusammen, um die Ursachen der gemeldeten Sicherheitslücken zu identifizieren. Der in der Meldung hinterlegten Kontakt wird über fortschritte in dieser Phase informiert.

Behebung
Das SAE PSIRT Arbeitet mit den Entwicklungsabteilungen zusammen, um eine finale Behebung der Schwachstelle bereitstellen zu können. Falls durch die gemeldete Schwachstelle ein hohes Risiko für Kunden von SAE besteht und eine finale Behebung zu viel Zeit in Anspruch nimmt, werden durch SAE temporäre Maßnahmen veröffentlicht. Der in der Meldung hinterlegten Kontakt wird über den den geplanten Erfüllungshorizont informiert.

Offenlegung
Das SAE PSIRT veröffentlicht die relevanten Informationen zu der gemeldeten Schwachstelle und entsprechende Patches oder Maßnahmen in der Sektion für Sicherheitsmeldungen auf der Webseite.

Disclaimer
SAE behält sich vor, den hier beschriebenen Prozess jeder Zeit zu verändern oder aus gegebenem Anlass von dem Prozess abzuweichen.