Disclosure Policy

Die im CERT@VDE mitarbeitenden Firmen (Teilnehmer) offerieren Produkte hoher Qualität und Zuverlässigkeit im Bereich der Automatisierungstechnik. Sie bekennen sich zu einem verantwortungsvollen Umgang mit entdeckten Schwachstellen in ihren Produkten, die Auswirkungen auf die Informationssicherheit haben.

CERT@VDE unterstützt die Teilnehmer bei der Bewältigung entdeckter oder von Dritten gemeldeten Schwachstellen unter Einbeziehung von Kunden, Partnern und anderen Firmen der Zielgruppe sowie von anderen CERTs und weiteren vertrauenswürdigen Partnern aus Wissenschaft und Forschung.

Vertrauen auf den verantwortungsvollen Umgang mit sensitiven Informationen ist dabei die Basis der Kooperation. Daher wird CERT@VDE die Vertraulichkeit der ihm von Teilnehmern oder Dritten anvertrauten Informationen wahren und etwaige Wünsche nach Anonymität beachten. Informationen zu Schwachstellen wird CERT@VDE nur nach Absprache sowie auf Grundlage dieser Disclosure Policy veröffentlichen, sofern keine übergeordneten rechtlichen Verpflichtungen bestehen.

CERT@VDE wird grundsätzlich alle gemeldeten Schwachstellen und Vorfälle mit den betroffenen Herstellern kooperativ und koordinierend bearbeiten („Coordinated Disclosure“). Dabei wird die enge Zusammenarbeit zwischen den Entdeckern einer Schwachstelle (Melder), dem CERT@VDE und den Herstellern der betroffenen Produkte angestrebt. Durch einen verantwortungsvollen Umgang mit den Informationen zur Schwachstelle und die enge Koordinierung zwischen allen Beteiligten durch CERT@VDE soll vermieden werden, dass Details, die zur Ausnutzung der Schwachstelle missbraucht werden könnten, vorzeitig bekannt werden.

 

Im Übrigen soll der Zeitrahmen, innerhalb dessen Gegenmaßnahmen bereitzustellen sind und eine koordinierte Veröffentlichung stattfindet gewissen Gegebenheiten angepasst werden, die vom Lebenszyklus der Schwachstelle, der Motivation und dem Verhalten des Melders und der Kooperation des betroffenen Herstellers abhängen.

Hierzu zählen:

  • die Schwere der möglichen Auswirkungen einer Schwachstelle
  • die Komplexität eines möglichen Exploits
  • die Verfügbarkeit von Workarounds oder anderen Gegenmaßnahmen
  • die Fähigkeiten der Hersteller, einen Patch/Workaround zu liefern
  • die Aufwandsabschätzungen der Hersteller für die Erstellung (Entwicklung, Test, und Freigabe) eines Patches

Dabei soll im Regelfall eine Veröffentlichung nach spätestens 45 Tagen erfolgen. Sollte es sich in Ausnahmefällen als notwendig erweisen, die Veröffentlichung länger als 45 Tage zurückzuhalten – wird CERT@VDE die Gründe hierfür dokumentieren. Verhält sich ein Hersteller, Integrator oder Zulieferer bei diesem Prozess nicht kooperativ und reagiert weder auf telefonische Anfragen noch auf Emails, bzw. legt keinen vertretbaren Zeitplan vor wird CERT@VDE in Abstimmung mit dem Melder eine Veröffentlichung der Schwachstelle vornehmen, auch wenn noch kein Patch bzw. Workaround vorliegt.

CERT@VDE wird dem Melder den erarbeiteten Zeitplan vorschlagen und darum bitten, von einer eigenen Veröffentlichung der Schwachstelle vor der koordinierten Veröffentlichung durch CERT@VDE abzusehen. Sofern ein Melder mit dem vorgeschlagenen Zeitplan nicht einverstanden ist und auf einer früheren Veröffentlichung besteht, wird CERT@VDE dies den betroffenen Herstellern mitteilen und den Zeitplan entsprechend anpassen, da eine koordinierte Veröffentlichung durch CERT@VDE in jedem Fall einer direkten Erstveröffentlichung durch den Melder vorzuziehen ist.

Eine Schwachstelle, die bereits vorab durch den Melder oder Dritte veröffentlicht wurde, wird durch CERT@VDE unverzüglich veröffentlicht. Dabei wird angestrebt, bereits mit der Veröffentlichung Hinweise des Herstellers zu einem möglichen Workaround oder sonstigen Gegenmaßnahmen bekanntzumachen oder diese schnellstmöglich nachzureichen.

Name und Kontaktinformationen des Entdeckers einer Schwachstelle werden durch CERT@VDE an die betroffenen Hersteller weitergegeben, sofern dies bei der Meldung nicht ausdrücklich untersagt wird. Wenn ein Melder anonym bleiben möchte, bietet CERT@VDE die Möglichkeit, sämtliche Kommunikation zwischen den betroffenen Herstellern und dem Melder der Schwachstelle über CERT@VDE abzuwickeln. CERT@VDE unterrichtet dabei den Melder der Schwachstelle über den Zeitplan und den Status der Bearbeitung, ohne vertrauliche Informationen der Hersteller preiszugeben.