Product Security Incident Response Team
Willkommen auf der Website des Phoenix Contact Product Security Incident Response Teams (PSIRT). Das Phoenix Contact PSIRT ist das zentrale Team für Phoenix Contact und dessen Tochterunternehmen, dessen Aufgabe es ist, auf potenzielle Sicherheitslücken, Vorfälle und andere Sicherheitsprobleme im Zusammenhang mit Produkten, Lösungen sowie Diensten von Phoenix Contact zu reagieren.
Das Phoenix Contact PSIRT leitet die Offenlegung, Untersuchung und interne Koordination und veröffentlicht Sicherheitshinweise zu bestätigten Sicherheitslücken, bei denen Maßnahmen zur Abschwächung oder Behebung verfügbar sind.
Wir möchten hiermit Sicherheitsexperten und andere Akteure, die potenzielle Sicherheitsprobleme in den Produkten, Lösungen und Diensten von Phoenix Contact entdecken, aktiv dazu ermutigen, sich an das Phoenix Contact PSIRT zu wenden. Dadurch wird es möglich, Aktivitäten gemeinsam zu besprechen und abzustimmen und dadurch die Sicherheitslage für Phoenix Contact und seine Kunden zu verbessern.
Aktuelle Sicherheitshinweise Dieser Abschnitt der Website des Phoenix Contact PSIRT enthält alle aktuellen Sicherheitshinweise, die durch das Phoenix Contact PSIRT herausgegeben wurden.
Sicherheitslücken melden
Jeder kann per E-Mail Informationen zu potenziellen Sicherheitslücken beim Phoenix Contact PSIRT einreichen. Ob Sie Kunde von Phoenix Contact sind oder nicht – wir möchten Sie dringend bitten, uns über entdeckte Sicherheitslücken zu informieren. Um mit uns zur Offenlegung von Sicherheitslücken zusammenzuarbeiten, ist weder eine Vertraulichkeitsvereinbarung (NDA) noch ein anderer Vertrag erforderlich. Unser Ziel ist es, mit den Meldern von Sicherheitslücken beim Umgang mit jeglichen vermuteten Sicherheitslücken bezüglich der Produkte, Lösungen und Dienste von Phoenix Contact professionell zusammenzuarbeiten.
Wir wissen koordinierte Meldungen zu Sicherheitslücken von den Mitgliedern der Sicherheits-Community sehr zu schätzen, ob es sich um Sicherheitsforscher, den Hochschulbereich, andere CERTs, Geschäftspartner, Regierungseinrichtungen oder andere Quellen handelt. Da einige unserer Komponenten als Bestandteile kritischer Anlagen bereitgestellt werden, möchten wir Sie bitten, die Offenlegung von Informationen mit uns abzustimmen. Dadurch soll deren Veröffentlichung vermieden werden, bis unsere Entwicklungsteams eine geeignete Maßnahme zur Behebung oder Abschwächung erstellt haben. Sie können sich über E-Mail an uns wenden, um uns Informationen zu Ihren vermuteten Sicherheitslücken mitzuteilen.
Stellen Sie uns in Ihrer E-Mail die folgenden Informationen bereit, um die Bearbeitung zu beschleunigen:
- Name des Melders: Falls Sie anonym bleiben möchten, respektieren wir Ihre Interessen.
- Kontaktdetails: E-Mail-Adresse und Telefonnummer, unter der wir Sie erreichen können.
- Zugehörigkeit: Wie lautet Ihre Organisationszugehörigkeit (falls vorhanden)?
- Art der eingereichten Sicherheitslücke: Wie beschreiben Sie die Art der Sicherheitslücke (z. B. XSS, Pufferüberlauf, fest codierte Zugangsdaten …)?
- Auslöser der Sicherheitslücke: Können Sie schädlichen Code bereitstellen, mit dem das Auslösen der Sicherheitslücke nachgewiesen werden kann (Proof-of-Concept, PoC)? Als Alternative können Sie auch Network-Traces (z. B. pcaps) oder eine Beschreibung der möglichen Auslöseweise der Sicherheitslücke einreichen.
- Auswirkungen der Sicherheitslücken: Haben Sie Auswirkungen beobachtet, die durch die Sicherheitslücke entstehen bzw. herbeigeführt werden?
- Betroffene Komponenten: In welchen Produkten, Lösungen oder Diensten haben Sie die Sicherheitslücke gefunden? Fügen Sie alle Informationen ein, die Ihnen zur Verfügung stehen, wie Produktfamilie und -gruppe, Firmware- oder Software-Version. Geben Sie bei Diensten den jeweiligen Ort (z. B. URL) an.
- Vertraulichkeit von Sicherheitslücken: Wurde die Sicherheitslücke bereits offengelegt oder haben Sie konkrete Pläne für die Offenlegung?
Das Phoenix Contact PSIRT garantiert, innerhalb von zwei Geschäftstagen den Eingang von neuen Berichten zu Sicherheitslücken zu bestätigen, und dankt allen Meldern für ihre Bemühungen, um gemeinsam mit uns die Sicherheitslage für Phoenix Contact und deren Kunden zu verbessern.
Da Informationen zu Sicherheitslücken und vermuteten Sicherheitslücken kritisch sind, möchten wir Sie bitten, uns diese Informationen verschlüsselt zu übermitteln. Verwenden Sie daher unseren PGP-Schlüssel zum Verschlüsseln der Informationen, wenn Sie dem Phoenix Contact PSIRT eine potentielle Sicherheitslücke melden.
Wenn Sie zum ersten Mal mit dem Phoenix Contact PSIRT in Kontakt treten, oder wenn sich Ihr PGP-Key geändert hat, bitten wir Sie, ihren PGP Public Key an Ihre initiale E-Mail anzuhängen, um verzögerungsfrei eine Ende-zu-Ende-Verschlüsselung zu ermöglichen.
PGP-Schlüssel: 94064631
PGP-Fingerabdruck: 2075 33A9 B1E1 929D 8B9A BD18 0602 A718 9406 4631
Abmeldung PSIRT-Newsletter
Sie wollen keine weiteren Updates vom Phoenix Contact PSIRT erhalten. Hier können Sie sich abmelden.
Kooperation
Wir veröffentlichen unsere Sicherheitshinweise zusammen mit anderen Unternehmen auf der VDE CERT-Website.