Industrial Security beginnt schon bei der Produktentwicklung. Damit unsere Produktlösungen bei Pilz safe und secure sind, achten wir auf einen ganzheitlichen Produktlebenszyklus, welcher Security nachweislich in unserem Unternehmen berücksichtigt. Vom PSIRT Team, welches für kontinuierliches Security-Management sorgt, über Security Advisories und sicheren Prozessen für den Produktlebenszyklus sind wir für Sie da.
Security ist ein „moving target“ d.h. Security verändert sich während des Lebenszyklus eines Produkts. Angreifer entwickeln immer bessere Methoden, um Abwehrmaßnahmen zu überwinden. Neue Schwachstellen in Produkten werden entdeckt und bieten Angriffspotenzial. Oder die Bedrohungslage verändert sich z.B. durch neue Software.
Daher müssen Maßnahmen gegen Cyberbedrohungen oder Manipulation regelmäßig überprüft werden. Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern. Maschinenbauer und Komponentenhersteller sollten die Betreiber sofort über neue Sicherheitsprobleme informieren. Entsprechende Updates für die Software ihrer Geräte müssen bereitgestellt werden, damit ihre Kunden Schwachstellen beheben können. Sind auch Systemintegratoren in den Prozess eingebunden, fungieren sie als Mittler zwischen Hersteller und Betreiber. Wichtig ist, dass alle Beteiligten über den gesamten Lebenszyklus der Produkte hinweg eng zusammenarbeiten.
Pilz ist Experte für Sicherheit. Es ist uns wichtig, dass unsere Produkte nicht nur sicher, sondern auch secure sind. Deswegen haben wir TÜV Süd beauftragt, unsere Entwicklungsprozesse unter die Lupe zu nehmen und auf Grundlage der Norm IEC 62443-4-1 zu prüfen. Sie definiert eine sichere Entwicklung von Produkten, den „Security Development Lifecycle Prozess“ (SDL-Prozess). Dieser Ansatz betrachtet bereits beim Entwurf eines neuen Produkts mögliche Security-Eigenschaften. Er soll sicherstellen, dass alle Security-Risiken in einem Produkt mithilfe einer Modellierung der Bedrohungen erkannt und idealerweise im Produkt während des Entwicklungsprozesses behoben werden.
Das Ergebnis des Audits: Die Entwicklung von Pilz hat die Anforderungen der Norm erfüllt und entspricht dem SDL-Prozess. Damit können wir nun mit Sicherheit sagen: Pilz entwickelt nicht nur safe, sondern auch secure!
Gemäß TÜV Süd wird die Entwicklung sicherer Produkte nach IEC 62443-4-1 bei Pilz sehr ernst genommen und schaffe eine solide Basis für nachfolgende Produkt-Zertifizierungen.
Pilz ist neben Hardware auch Hersteller von Software-Lösungen. Sicherheitslücken in Software lassen sich nicht zu 100 % vermeiden. Wichtig ist es daher, dass Nutzer und Administratoren rechtzeitig über diese Lücken informiert werden, damit sie notwendige Gegenmaßnahmen ergreifen können, bevor ein Schaden entstehen kann. Für unsere Produkte und Dienstleistungen gelten höchste Qualitätsanforderungen. Aus diesem Grund berücksichtigt Pilz Security bereits während der Entwicklung der eigenen Produkte. Dennoch lassen sich Sicherheitslücken in Software nicht zu 100 % vermeiden. Daher nehmen wir Meldungen zu möglichen Schwachstellen zwecks Incident Management sehr ernst. Nutzer und Administratoren rechtzeitig müssen über diese Lücken informiert werden, damit sie notwendige Gegenmaßnahmen ergreifen können, bevor ein Schaden entstehen kann. Nur so ist es uns möglich, die Qualität unserer Produkte weiterhin auf einem hohen Niveau zu halten. Damit dies geregelt funktioniert, ist es wichtig ein entsprechendes Management inklusive eines Product Security Incident Response Team (PSIRT) im Unternehmen zu etablieren. Das PSIRT Team von Pilz gibt in Form von Security Advisories Handlungsempfehlungen bekannt, mithilfe derer Sie erkannte Schwachstellen beheben können.
Ein Security-Advisory informiert über eine bestehende Sicherheitslücke in einem unserer Produkte und besteht typischerweise aus:
*Das CVSS (Common Vulnerability Scoring System) ist ein weltweit anerkanntes Standardverfahren zur Bewertung der Kritikalität einer Schwachstelle. Aktuell liegt CVSS in der Version 3.0 vor. CVSSv3 definiert einen Score von 0-10. Mit 0 wird die niedrigste und mit 10 die höchste Kritikalität bewertet.
Hier finden Sie die aktuellen Security Advisories.
Was macht das Pilz PSIRT?
Die Security-Experten des Pilz PSIRT analysieren, bewerten und bearbeiten potenzielle Sicherheitsschwachstellen sowie Security-Vorfälle in Zusammenhang mit Produkten und Lösungen von Pilz. Wurde eine Schwachstelle bestätigt, veröffentlicht das Pilz PSIRT Security Advisories mit Hinweisen zur Behebung dieser Schwachstelle.
Wir möchten Sicherheitsexperten, unabhängige Forscher, Kunden und andere Akteure, dazu ermutigen uns Sicherheitsprobleme bei unseren Produkten und Lösungen zu melden. Nur so ist es uns möglich, weitere Aktivitäten gemeinsam zu besprechen, abzustimmen und die Security unserer Produkte und Lösungen zu verbessern. Um unsere Kunden und Unbeteiligte nicht zu gefährden, bitten wir um eine koordinierte Veröffentlichung von Schwachstellen unter Einbeziehung unseres PSIRT.
So erreichen Sie das Pilz PSIRT:
Die Security-Spezialisten des Pilz PSIRT bearbeiten und bewerten alle Meldungen zu möglichen Security-Schwachstellen von Pilz Produkten. Wenn Sie Fragen zu Security haben, die unsere Produkte oder Infrastruktur betreffen, oder Sicherheitslücken melden möchten, wenden Sie sich bitte an unsere Security Experten des PSIRT. Bitte benachrichtigen Sie das PSIRT auf Deutsch oder Englisch. Eine erste Reaktion können Sie typischerweise innerhalb von zwei Werktagen (CET) erwarten.
Bitte melden Sie Security-Probleme unserer Produkte, Lösungen und Online-Dienste an:
Fügen Sie Ihrer Meldung bitte folgende Informationen bei:
1. Analysieren: Unser PSIRT untersucht die gemeldete Schwachstelle und wird bei Bedarf weitere Informationen vom Einreicher anfordern. Bitte beachten Sie, dass die Untersuchung je nach Komplexität der Schwachstelle und Art des Produkts einige Tage bis Wochen dauern kann. Unabhängig hiervon geben wir dem Einreicher spätestens nach 15 Werktagen die erste Rückmeldung.
2. Maßnahmen definieren: Abhängig von der Schwere der Schwachstelle und ggf. anderen Randbedingungen werden Updates vorbereitet. Im Falle einer gravierenden Schwachstelle bereitet Pilz ein Security Advisory vor. Während des Prozesses informieren wir den Einreicher regelmäßig über den Status.
3. Veröffentlichen: Das fertige Security Advisory und ggfs. zugehörige Patches werden hier veröffentlicht und stehen jedem Kunden zum Download zur Verfügung. Für den Download müssen Sie sich mit Ihrem Benutzernamen einloggen. Falls Sie noch kein Profil haben, können Sie sich hier kostenlos registrieren. Bitte beachten Sie, dass in Abhängigkeit der Schwere einer Schwachstelle Patches ggf. nur im Rahmen des produkttypischen Releasezyklus freigegeben werden.
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Deutschland
Telefon: +49 711 3409-0
E-Mail: info@pilz.de
Telefon: +49 711 3409 444
E-Mail: techsupport@pilz.de
