Produkt-Security
Qualität, Zuverlässigkeit, Sicherheit – drei essenzielle Werte, aus denen Vertrauen erwächst. Aus diesem Grund legt ifm jedem Handeln diese drei Werte zugrunde. Das gilt auch für seine Produkte. Und auch, wenn wir Sicherheitslücken nicht zu 100 % ausschließen können, setzen wir alles daran, nah an den Idealzustand heranzukommen.
Im Falle, dass Sie uns eine Schwachstellenmeldung zusenden möchten, nennen Sie uns bitte folgende Informationen:
- Artikel inkl. Artikel-Nummer
- Softwareversion
- Ihr Vor- und Nachname
- Name der Organisation
- Land
- Email-Adresse
- Bestätigung der Nennung als Finder*in
- Telefonnummer (optional)
Zusätzlich benötigen wir eine Beschreibung der Schwachstelle mit folgenden Informationen:
- Konfiguration der Anwendung oder Applikation
- Beschreibung der Betriebsumgebung
- Auswirkung der Schwachstelle
- Detaillierte Beschreibung der Schwachstelle
Senden Sie Ihre Meldung bitte an psirt@ifm.com
Diese können als PGP verschlüsselter Anhang übermittelt werden.
Der Schwachstellen Bearbeitungsprozess der ifm Unternehmensgruppe definiert die Vorgehensweise für die Aufnahme und die Bearbeitung von Schwachstellenmeldungen. Zusätzlich koordiniert das ifm PSIRT die Bereitstellung von Informationen über Schwachstellen in den Artikeln der ifm Unternehmensgruppe.
Das ifm PSIRT analysiert alle eingehenden Meldungen. Innerhalb von 5 Werktagen erhält der Finder eine Rückmeldung durch das PSIRT. Bei Bedarf werden weitere notwendige Informationen angefragt. Sollte die ifm innerhalb von 60 Werktagen keine Rückmeldung erhalten, wird die Anfrage geschlossen.
Nach der Validierung der Schwachstelle wird auf Basis der vorliegenden Informationen die Auswirkung und der Schweregrad der Schwachstelle festgestellt und entsprechende Gegenmaßnahmen entwickelt.
Hinweis: Der Zeitaufwand für die Bearbeitung einer Schwachstelle kann durch die Komplexität beeinflusst werden. Auf Basis der Informationen wird die Ursache der Schwachstelle identifiziert und eine geeignete Gegenmaßnahme entwickelt.
Der Finder wird regelmäßig, spätestens alle 30 Werktage über den aktuellen Stand der Bearbeitung informiert.
Nachdem eine geeignete Gegenmaßnahme bereitgestellt wurde, wird eine Security-Meldung mit allen relevanten Informationen auf unserer PSIRT Seite und über unseren Partner, dem CERT@vde, bereitgestellt.