Product Security Incident Response Team

100%

Willkommen beim Achtwerk Product Security Incident Response Team (PSIRT)

Das Achtwerk PSIRT ist das zentrale Team der Achtwerk für die Aufgabe auf potenzielle Sicherheitslücken, Vorfälle und andere Sicherheitsprobleme im Zusammenhang mit Produkten, Lösungen sowie Diensten von Achtwerk zu reagieren.
Das Achtwerk PSIRT leitet die Offenlegung, Untersuchung und interne Koordination und veröffentlicht Sicherheitshinweise zu bestätigten Sicherheitslücken, bei denen Maßnahmen zur Abschwächung oder Behebung verfügbar sind.
Wir möchten hiermit Sicherheitsexperten und andere Akteure, die potenzielle Sicherheitsprobleme in den Produkten, Lösungen und Diensten von Achtwerk entdecken, aktiv dazu ermutigen, sich an das Achtwerk PSIRT zu wenden. Dadurch wird es möglich, Aktivitäten gemeinsam zu besprechen und abzustimmen und dadurch die Sicherheitslage für Achtwerk und seine Kunden zu verbessern. 

Jeder kann Informationen zu potenziellen Sicherheitslücken  einreichen!

Ob Sie Kunde von Achtwerk sind oder nicht – wir möchten Sie dringend bitten, uns über entdeckte Sicherheitslücken zu informieren. Um mit uns zur Offenlegung von Sicherheitslücken zusammenzuarbeiten, ist weder eine Vertraulichkeitsvereinbarung (NDA) noch ein anderer Vertrag erforderlich. Unser Ziel ist es, mit den Meldern von Sicherheitslücken beim Umgang mit jeglichen vermuteten Sicherheitslücken bezüglich der Produkte, Lösungen und Dienste von Achtwerk professionell zusammenzuarbeiten.
Wir wissen koordinierte Meldungen zu Sicherheitslücken von den Mitgliedern der Sicherheits-Community sehr zu schätzen, ob es sich um Sicherheitsforscher, den Hochschulbereich, andere CERTs, Geschäftspartner, Regierungseinrichtungen oder andere Quellen handelt. Da einige unserer Komponenten als Bestandteile kritischer Anlagen bereitgestellt werden, möchten wir Sie bitten, die Offenlegung von Informationen mit uns abzustimmen. Dadurch soll deren Veröffentlichung vermieden werden, bis unsere Entwicklungsteams eine geeignete Maßnahme zur Behebung oder Abschwächung erstellt haben. Sie können sich über E-Mail an uns wenden, um uns Informationen zu Ihren vermuteten Sicherheitslücken mitzuteilen. 

MAIL AN: SECURITY – REPORT (A) ACHT – WERK . DE

Stellen Sie uns in Ihrer E-Mail die folgenden Informationen bereit, um die Bearbeitung zu beschleunigen:

Name des Melders: Falls Sie anonym bleiben möchten, respektieren wir Ihre Interessen.
Kontaktdetails: E-Mail-Adresse und Telefonnummer, unter der wir Sie erreichen können.
Zugehörigkeit: Wie lautet Ihre Organisationszugehörigkeit (falls vorhanden)?
Art der eingereichten Sicherheitslücke: Wie beschreiben Sie die Art der Sicherheitslücke (z. B. XSS, Pufferüberlauf, fest codierte Zugangsdaten …)?
Auslöser der Sicherheitslücke: Können Sie schädlichen Code bereitstellen, mit dem das Auslösen der Sicherheitslücke nachgewiesen werden kann (Proof-of-Concept, PoC)? Als Alternative können Sie auch Network-Traces (z. B. pcaps) oder eine Beschreibung der möglichen Auslöseweise der Sicherheitslücke einreichen.
Auswirkungen der Sicherheitslücken: Haben Sie Auswirkungen beobachtet, die durch die Sicherheitslücke entstehen bzw. herbeigeführt werden?
Betroffene Komponenten: In welchen Produkten, Lösungen oder Diensten haben Sie die Sicherheitslücke gefunden? Fügen Sie alle Informationen ein, die Ihnen zur Verfügung stehen, wie Produktfamilie und -gruppe, Firmware- oder Software-Version. Geben Sie bei Diensten den jeweiligen Ort (z. B. URL) an.
Vertraulichkeit von Sicherheitslücken: Wurde die Sicherheitslücke bereits offengelegt oder haben Sie konkrete Pläne für die Offenlegung?

Das Achtwerk PSIRT garantiert, innerhalb von drei Geschäftstagen den Eingang von neuen Berichten zu Sicherheitslücken zu bestätigen, und dankt allen Meldern für ihre Bemühungen, um gemeinsam mit uns die Sicherheitslage für Achtwerk und deren Kunden zu verbessern.

Produktlebenszyklus der IRMA® Software!

Die Software Entwicklung und der Support des IRMA® Systems erfolgt im „Continuous Development“ und „Continuous Delivery“ bzw. „Continuous Deployment“ Prozess. Hierzu wird ein vollständiger und integrierter Update / Upgrade Prozess zur Verfügung gestellt. Dieses gilt sowohl für verfügbare Security Patches als auch funktionale Erweiterungen. Funktionale Erweiterung (Major Upgrades) erfolgen in der Regel zweimal im Jahr. Software für funktionale Fehlerbeseitigungen nach Bedarf und Notwendigkeit.

Status „End of Support“ (EOS): Support ist ausschließlich für die aktuelle Version verfügbar. Hat eine Version den Status “EOS” erreicht, endet der kostenlose technische Support für diese Version. Sie haben in diesem Fall zwei Möglichkeiten:
1. Sie aktualisieren Ihre Version durch ein Update oder
2. Sie nehmen unseren kostenpflichtigen Support in Anspruch.

Status „End of Life“ (EOL): Softwareversionen älter als die aktuell verfügbare Version sind EOL. Das bedeutet, dass in dieser Version keine weiteren Fehlerbehebungen (Bugfixes) vorgenommen werden. Sollte die Version Ihrer Software den Status EOL erreicht haben, empfehlen wir umgehend ein Update auf die aktuelle Version vorzunehmen.

Kunden mit einem Secure Vertrag stehen alle Upgrades kostenfrei zur Verfügung. Kunden ohne Secure Vertrag wenden sich bitte an ihren Vertragspartner. Die Security Patches der eingesetzten OpenSource Software Pakete der IRMA® sind kostenfrei und stehen in Abhängigkeit der Softwarepakete im integrierten online und offline Update zur Verfügung. Es ist zu beachten, dass durch Technologiewechsel und Innovationen der technische Prozesse das Update und Upgrade jederzeit angepasst werden kann.

Die sichere Entwicklung und Produktion der IRMA® Software ist in der Achtwerk „ISMS-Richtlinie Softwareentwicklung“ dokumentiert. Diese Richtlinie orientiert sich an Entwicklungsprozess­vorgaben der ISO9001 sowie IEC 62443-4-1. Ein entsprechende Zertifizierung erfolgt nach wirtschaftlicher Entscheidung. Als Lieferant der kritischen Infrastrukturen und KRITIS Unternehmen ist ein Herstelleraudit durch den Betreiber jederzeit möglich.

100%

Achtwerk GmbH & Co KG, 2015 – 2021