Dienste

Dienste und Leitlinien des CERT@VDE

Leitlinien und Compliance Regeln

Folgende Leitlinien bestimmen die Kooperation mit dem CERT@VDE:

  • Die Vertraulichkeit der Kundendaten hat höchste Priorität.
  • Die Kooperation ist freiwillig und kann jederzeit beendet werden.
  • Businessmodelle Einzelner dürfen unter den Aktivitäten des CERT@VDE nicht leiden.
  • Durch wechselseitige Beiträge und Informationen sollen die Arbeitsabläufe aller Mitglieder optimiert werden.
  • Informationen und Interessen anderer Mitglieder werden geschützt.
  • Die Arbeit und die Zusammenarbeit sollen ein Vorbild für andere CERTs in anderen Branchen darstellen.
  • Für alle Beteiligte am CERT@VDE erfolgt die Mitwirkung entsprechend den Compliance Regeln (Verhaltenskodex) des VDE . 
       Der Verhaltenskodex wendet sich unter anderem an alle Mitglieder von Organen und alle Teilnehmer von Gremiensitzungen und anderer Zusammenkünfte und Aktivitäten des VDE, auch wenn kein Dienstverhältnis zum VDE besteht. 
       Er wendet sich an die Experten in Normungs- und/ oder Standardisierungsverfahren sowie an die Experten im Bereich der technisch-wissenschaftlichen Aktivitäten

Disclosure Policy

Die im CERT@VDE mitarbeitenden Firmen (Teilnehmer) offerieren Produkte hoher Qualität und Zuverlässigkeit im Bereich der Automatisierungstechnik. Sie bekennen sich zu einem verantwortungsvollen Umgang mit entdeckten Schwachstellen in ihren Produkten, die Auswirkungen auf die Informationssicherheit haben.

CERT@VDE unterstützt die Teilnehmer bei der Bewältigung entdeckter oder von Dritten gemeldeten Schwachstellen unter Einbeziehung von Kunden, Partnern und anderen Firmen der Zielgruppe sowie von anderen CERTs und weiteren vertrauenswürdigen Partnern aus Wissenschaft und Forschung.

Vertrauen auf den verantwortungsvollen Umgang mit sensitiven Informationen ist dabei die Basis der Kooperation. Daher wird CERT@VDE die Vertraulichkeit der ihm von Teilnehmern oder Dritten anvertrauten Informationen wahren und etwaige Wünsche nach Anonymität beachten. Informationen zu Schwachstellen wird CERT@VDE nur nach Absprache sowie auf Grundlage dieser Disclosure Policy veröffentlichen, sofern keine übergeordneten rechtlichen Verpflichtungen bestehen.

CERT@VDE wird grundsätzlich alle gemeldeten Schwachstellen und Vorfälle mit den betroffenen Herstellern kooperativ und koordinierend bearbeiten („Coordinated Disclosure“). Dabei wird die enge Zusammenarbeit zwischen den Entdeckern einer Schwachstelle (Melder), dem CERT@VDE und den Herstellern der betroffenen Produkte angestrebt. Durch einen verantwortungsvollen Umgang mit den Informationen zur Schwachstelle und die enge Koordinierung zwischen allen Beteiligten durch CERT@VDE soll vermieden werden, dass Details, die zur Ausnutzung der Schwachstelle missbraucht werden könnten, vorzeitig bekannt werden.

 

Im Übrigen soll der Zeitrahmen, innerhalb dessen Gegenmaßnahmen bereitzustellen sind und eine koordinierte Veröffentlichung stattfindet gewissen Gegebenheiten angepasst werden, die vom Lebenszyklus der Schwachstelle, der Motivation und dem Verhalten des Melders und der Kooperation des betroffenen Herstellers abhängen.

Hierzu zählen:

  • die Schwere der möglichen Auswirkungen einer Schwachstelle
  • die Komplexität eines möglichen Exploits
  • die Verfügbarkeit von Workarounds oder anderen Gegenmaßnahmen
  • die Fähigkeiten der Hersteller, einen Patch/Workaround zu liefern
  • die Aufwandsabschätzungen der Hersteller für die Erstellung (Entwicklung, Test, und Freigabe) eines Patches

Dabei soll im Regelfall eine Veröffentlichung nach spätestens 45 Tagen erfolgen. Sollte es sich in Ausnahmefällen als notwendig erweisen, die Veröffentlichung länger als 45 Tage zurückzuhalten – wird CERT@VDE die Gründe hierfür dokumentieren. Verhält sich ein Hersteller, Integrator oder Zulieferer bei diesem Prozess nicht kooperativ und reagiert weder auf telefonische Anfragen noch auf Emails, bzw. legt keinen vertretbaren Zeitplan vor wird CERT@VDE in Abstimmung mit dem Melder eine Veröffentlichung der Schwachstelle vornehmen, auch wenn noch kein Patch bzw. Workaround vorliegt.

CERT@VDE wird dem Melder den erarbeiteten Zeitplan vorschlagen und darum bitten, von einer eigenen Veröffentlichung der Schwachstelle vor der koordinierten Veröffentlichung durch CERT@VDE abzusehen. Sofern ein Melder mit dem vorgeschlagenen Zeitplan nicht einverstanden ist und auf einer früheren Veröffentlichung besteht, wird CERT@VDE dies den betroffenen Herstellern mitteilen und den Zeitplan entsprechend anpassen, da eine koordinierte Veröffentlichung durch CERT@VDE in jedem Fall einer direkten Erstveröffentlichung durch den Melder vorzuziehen ist.

Eine Schwachstelle, die bereits vorab durch den Melder oder Dritte veröffentlicht wurde, wird durch CERT@VDE unverzüglich veröffentlicht. Dabei wird angestrebt, bereits mit der Veröffentlichung Hinweise des Herstellers zu einem möglichen Workaround oder sonstigen Gegenmaßnahmen bekanntzumachen oder diese schnellstmöglich nachzureichen.

Name und Kontaktinformationen des Entdeckers einer Schwachstelle werden durch CERT@VDE an die betroffenen Hersteller weitergegeben, sofern dies bei der Meldung nicht ausdrücklich untersagt wird. Wenn ein Melder anonym bleiben möchte, bietet CERT@VDE die Möglichkeit, sämtliche Kommunikation zwischen den betroffenen Herstellern und dem Melder der Schwachstelle über CERT@VDE abzuwickeln. CERT@VDE unterrichtet dabei den Melder der Schwachstelle über den Zeitplan und den Status der Bearbeitung, ohne vertrauliche Informationen der Hersteller preiszugeben.

Die Dienste im Überblick

Kommunikation über Security-Schwach­stellen erfordert Vertrauen und Effizienz

CERT@VDE unterstützt KMU bei IT-Sicherheits­­vorfällen im Bereich der Automatisierungs­­­industrie über Organisations­­­grenzen hinweg, in der gleichen Zeit­zone und in deutscher Sprache.

CERT@VDE

  • ermöglicht einen hersteller­­übergreifenden Austausch auf einer neutralen, vertrauens­­würdigen und sicheren Plattform, unter Wahrung der Anonymität.
  • koordiniert die Unterstützung beim Schließen von Sicherheits­lücken.
  • regt den Austausch über geeignete Vorgehens­weisen an.
  • bereitet zielgruppen­orientierte Schwachstellen­­informationen aus diversen Quellen auf und macht diese verfügbar.
  • veranstaltet Workshops für die Automatisierungs­industrie.
  • erarbeitet gemeinsam mit seinen Partnern Best Practices.

FAQ

Was bedeutet „CERT“?

Was ist CERT@VDE?

Welche Vorteile habe ich durch die Mitgliedschaft im CERT@VDE?

Was bedeutet „CERT“?

Ein Computer Emergency Response Team (CERT), deutsch Computersicherheits-Ereignis- und Reaktionsteam, auch als Computer Security Incident Response Team (CSIRT) bezeichnet, ist eine Gruppe von EDV-Sicherheits­fachleuten, die bei der Lösung von konkreten IT-Sicherheits­vorfällen (z.B. Bekannt­werden neuer Sicherheits­lücken in bestimmten Anwendungen oder Betriebs­systemen, neuartige Virenverbreitung, bei Spam versendenden PCs oder gezielten Angriffen) als Koordinator mitwirkt bzw. sich ganz allgemein mit Computer­sicherheit befasst (manchmal auch branchen­spezifisch), Warnungen vor Sicherheits­lücken herausgibt und Lösungs­ansätze anbietet (engl.: "advisories", dt.: „Ratschläge“). [Quelle: Wikipedia]

Was ist CERT@VDE?

CERT@VDE ist die erste IT-Sicherheits­plattform in Deutschland für kleine und mittelständische Unternehmen der Industrie

Die digitale Transformation durch Industrie 4.0 eröffnet große Chancen und Wertschöpfungs­potenziale – gerade für den Wachstums­motor Mittelstand. Zugleich steigt mit der fortschreitenden Vernetzung von Produktions­systemen mittels moderner IKT-Systeme jedoch das Risiko von Sicherheits­vorfällen. Die Bedrohungen reichen von System- und Produktions­ausfällen über Fehlfunktionen mit Unfallfolgen bis hin zur Industrie­spionage und Sabotage.

Entsprechend schwerwiegend sind die möglichen Folgen:

  • finanzielle Verluste,
  • Know-how-Verlust und
  • Imageverlust.

Umso wichtiger ist es, IT-Sicherheit als kritischen Erfolgsfaktor für Industrie 4.0 und Digitalisierung zu stärken: zum einen durch eine verbesserte Prävention bei der System­entwicklung, zum anderen durch eine möglichst schnelle Reaktion bei Bekanntwerden neuer Sicherheits­lücken oder Angriffs­möglichkeiten.

Während große internationale Unternehmen und Institutionen meist über ein eigenes CERT bzw. CSIRT verfügen, sowie große Hersteller oft ein PSIRT betreiben, um den Umgang mit Schwach­stellen in den eigenen Produkten zu koordinieren und Produkt­sicherheits­informationen strukturiert bereitzustellen, fehlen KMU jedoch in der Regel die Ressourcen für spezialisierte Notfallteams. Selbst dort, wo diese bereits eingerichtet wurden, fehlt es noch an Strukturen zur vertrauens­vollen Zusammen­arbeit mit anderen Herstellern.

Hier setzt CERT@VDE an, die erste Plattform zur Koordination von IT-Security-Problemen speziell für KMU im Bereich Industrie­automation. Wir bieten Herstellern, Integratoren, Anlagenbauern und Betreibern die Möglichkeit zum intensiven und vertrauens­vollen Informations­austausch und konkrete Unterstützung beim Thema IT-Security. Effiziente und effektive Kooperations­strukturen für IT-Sicherheits- und Produktions­verantwortliche ermöglichen unseren Mitgliedern, gemeinsam an der Bewältigung des hohen Sicherheits­risikos zu arbeiten, das mit Industrie 4.0 zur zentralen Heraus­forderung geworden ist. Ehemals isolierte Informationen werden im CERT@VDE zentral gebündelt, strukturiert und verteilt, sodass verschiedenste Industrie­teilnehmer stets über den gleichen und aktuellsten Wissens­stand im Hinblick auf Produkt­sicherheits­standards und -gefahren verfügen.

CERT@VDE ist ein Bestandteil des VDE e.V. und verfolgt keine kommerziellen Interessen. Basis der Zusammenarbeit auf der IT-Sicherheits­plattform ist eine Vertraulichkeits­vereinbarung, die bei regelmäßigen Arbeits­treffen mit Leben erfüllt und um persönliches Vertrauen bereichert wird.

 

Welche Vorteile habe ich durch die Mitgliedschaft im CERT@VDE? 

CERT@VDE: Synergien für mehr Sicherheit

CERT@VDE ermöglicht seinen Teilnehmern einen direkten und offenen Austausch über die eingesetzte Technik, Tools, Methoden und Sicherheits­vorfälle. Die fachliche Diskussion über konkrete Frage­stellungen und Probleme wird angeregt, die Teilnehmer können wechsel­seitig aus dem Umgang ihrer Kooperations­partner mit ähnlichen Sicherheits­problemen profitieren. So entsteht nicht nur ein ganzheit­liches Bild der Heraus­forderungen, sondern es wächst auch das Instrumentarium zur Optimierung der IT-Sicherheit.

Einige Vorteile einer Mitgliedschaft sind:

  • Firmenübergreifender Austausch über Sicherheitsprobleme
  • Reduzierung von IT-Security-Vorfällen durch Wissensvorsprung und kundenspezifisches Lagebild
  • Vermeidung von Produktionsausfällen und Know-how-Abfluss
  • Schadensbegrenzung durch schnelle Einschätzungen und Aufzeigen von Eingriffsmöglichkeiten bei IT-Security-Vorfällen
  • Einfacher und kundenspezifischer Zugang zu relevanten Sicherheitsinformationen an einer Stelle (Cockpit-Ansatz und Single Point of Contact)
  • Reduzierung von Mehraufwand für IT-Security
  • Positives Firmenimage durch Mitarbeit und Mitgliedschaft im CERT@VDE
  • Mitgestaltung der CERT@VDE-Prozesse bei frühzeitiger Unterstützung und Teilnahme

Knowledgebase

In dieser Sektion finden Sie in Zukunft hilfreiche und weiterführende Informationen zum Thema

 


PSIRT-Training

CERT@VDE ist ein „koordinierendes PSIRT“…. und was ist ein PSIRT?

Diese und andere Fragen beantwortet ein Online-Kurs der international agierenden CERT Dachorganisation FIRST (Forum of Incident Response and Security Teams , www.first.org).

Basis der Lerninhalte ist der 2018 erschienene „PSIRT Guide“ (link), der von anerkannten Experten der FIRST-Gemeinschaft entwickelt wurde.

Der Kurs stellt die Schlüsselkonzepte zur Entwicklung eine PSIRT und die Basis-Servicebereiche für den Betrieb vor:

  • Was ist ein PSIRT?
  • PSIRT Organisationsstrukturen
  • Die Grundlagen für ein solides PSIRT
  • Stakeholder-Management im PSIRT
  • Schwachstellen-Handling
  • Patch-Management, Fehlerbehebung und Vorfallsbearbeitung
  • Informieren - Koordinieren – Veröffentlichen
  • Schulung und Gewährleistung effizienter Produktsicherheitsprozesse.

Die Online Schulung ist in englischer Sprache und kostenfrei unter diesem Link verfügbar. (Registrierung notwendig)