HIMA SECURITY STRATEGIE

 

Industrieanlagen sind heute stärker gefährdet als je zuvor. Noch vor wenigen Jahren reichte es aus, wenn Anlagen funktional sicher waren. Die heutige Realität stellt die Anlagenbetreiber jedoch vor neue Herausforderungen: Anlagen müssen nun auch vor Cyber-Angriffen geschützt werden. HIMA bietet hochwertige Sicherheitsprodukte für die industrielle Automatisierung.
Da Sicherheit eine Voraussetzung für funktionale Sicherheit ist, legt HIMA auch in seiner Organisation, seinen Produkten, Lösungen und Dienstleistungen einen starken Fokus auf Security. Es ist nicht möglich, alle Anwendungsfälle (und Missbräuche) von generischen Produkten vorherzusehen. HIMA geht daher davon aus, dass nicht alle Schwachstellen während des sicheren Entwicklungsprozesses entdeckt werden können.
Ziel ist es, ein hohes Maß an Sicherheit und Robustheit der HIMA Produkte und Lösungen zu erreichen und zu erhalten.
Um dies zu gewährleisten, ist ein reger Austausch mit der Security Community – hauptsächlich Kunden, Integratoren und Endanwender – aber auch Security Experten, Hacker und andere Experten notwendig.

WAS IST PSIRT?

Product Security Incident Response Team (PSIRT)

HIMA PSIRT ist ein zentrales, interdisziplinäres Team bei HIMA Paul Hildebrandt, welches sich um mögliche Sicherheitslücken in HIMA Produkten und Lösungen kümmert. Das Team besteht aus Security und Produkt-Spezialisten. HIMA ist dankbar für alle Rückmeldungen zu möglichen Fehlern, Schwachstellen oder Verwundbarkeiten, die an unsere Spezialisten weitergeleitet werden. Das PSIRT untersucht die Schwachstellen, bietet Abhilfemaßnahmen und Workarounds an und behebt sie, wenn möglich, in einer angemessenen Zeit, die mit den relevanten Auswirkungen auf die funktionale Sicherheit abgestimmt ist. 
HIMA PSIRT koordiniert und pflegt die Kommunikation mit allen Beteiligten, sowohl intern als auch extern, so dass es eine angemessene Reaktion auf festgestellte sicherheitsrelevante Probleme umsetzen kann.

Warum sollte man Schwachstellen melden?
Wir möchten ausdrücklich alle, nicht nur HIMA-Kunden, dazu ermutigen, Feedback zu allen HIMA Produkten und Lösungen zu geben. Alle Daten und insbesondere alle persönlichen Daten werden streng vertraulich behandelt, ohne dass eine Geheimhaltungsvereinbarung erforderlich ist. Die Meldung von Schwachstellen ermöglicht es den Anbietern, diese Schwachstellen zu beheben und die Kunden über Abhilfemaßnahmen, Workarounds und Fehlerbehebungen zu informieren. Dieser Ansatz hilft HIMA, die Robustheit und Zuverlässigkeit der HIMA Produkte und Lösungen zu verbessern. Und, was am wichtigsten ist, HIMA Kunden werden in die Lage versetzt, Sicherheitsrisiken zu managen.

Wie kann man Schwachstellen melden?
Wir bitten jeden, jede sicherheitsrelevante Schwachstelle eines HIMA Produkts oder einer HIMA Lösung zu melden. Je umfassender, präziser und detaillierter die Informationen sind, die PSIRT erhält, desto effizienter können die weiteren Schritte durchgeführt werden (siehe auch "Empfohlene Inhalte").
HIMA bietet 4 Möglichkeiten zur Kontaktaufnahme:

  1. Support anfragen support@hima.com
  2. E-mail senden an psirt@hima.com / Public Key
  3. Indirekt über unseren Partner CERT@VDE: cert.vde.com/helper/reportvuln/
  4. Whistlerblower System (anonymous)

Bevorzugte Sprachen sind Deutsch und Englisch.



Wer wird den Bericht erhalten?
HIMA stellt sicher, dass der Bericht den notwendigen Spezialisten zur Verfügung steht, um das beschriebene Problem zu beheben. Und nur ausschließlich HIMA Mitarbeitern. Externe Personen bekommen keinen Zugriff auf den Bericht.
HIMA stellt sicher, dass die Kontaktdaten der meldenden Partei vertraulich behandelt werden, es sei denn, die meldende Partei bittet ausdrücklich um die Weitergabe der Kontaktdaten.

Was wird mit dem Bericht gemacht?
HIMA PSIRT ist ein zentrales, interdisziplinäres Team bei HIMA Paul Hildebrandt. HIMA PSIRT wird die Auswirkungen und die Relevanz der gemeldeten Schwachstelle auf HIMA Produkte und Lösungen prüfen.  

Wie lange wird es dauern, bis HIMA reagiert?
Der Eingang einer gemeldeten Sicherheitslücke wird in der Regel innerhalb von 2 Arbeitstagen bestätigt.

Wie lange kann es dauern, bis das Problem gelöst ist?
Bei HIMA besteht die besondere Situation, dass der Entwicklungsprozess für Safety und Security mit den industriellen Anforderungen synchronisiert werden muss. In der Regel dauert es daher länger als in anderen Sektoren, bis Abhilfemaßnahmen oder Problemlösungen gefunden werden. Deshalb müssen wir um Geduld bitten. Auf Wunsch hält HIMA engen Kontakt mit dem Meldepflichtigen.
Da viele HIMA Komponenten und Systeme als Teile von kritischen Anlagen geliefert werden, bittet HIMA die gemeldete Partei, die Offenlegung von Informationen zu koordinieren. Dies dient dazu, die Offenlegung zu vermeiden, bis geeignete Abhilfemaßnahmen, Workarounds oder echte Fehlerbehebungen verfügbar sind.

Wie wird die Öffentlichkeit über das Ergebnis informiert?
Im Falle einer als kritisch oder hoch eingestuften Schwachstelle wird ein CVE angefordert und Sicherheitshinweise werden auf unserer Partnerplattform CERT@VDE veröffentlicht. Mittlere und niedrige Kritikalität wird mit der nächsten Produktversion in der Release Note veröffentlicht.
Kunden können sich entweder für einen RSS/Atom Feed anmelden oder direkt nach HIMA Produkten und Lösungen suchen (https://cert.vde.com/de/advisories/vendor/hima/) 
In extremen Fällen (z.B. bei Gefährdung der funktionalen Sicherheit) werden die betroffenen Kunden, soweit möglich und schnellstmöglich direkt kontaktiert.
HIMA wird immer abwägen, ob und wann wir eine Schwachstelle melden (Responsible Disclosure). In sehr seltenen Fällen kann HIMA auch Schwachstellen kommentieren, die keine HIMA Produkte und Lösungen betreffen.

Was steht in dem Hinweis?
Ein Hinweis gibt die relevanten Fakten und die Historie der Schwachstelle wieder.

Ein Leitfaden für wertvolle Informationen (alle Angaben sind freiwillig) zur schnellen Bearbeitung:

  • Persönlicher Kontakt (Name, Organisation, E-Mail, Telefon, Land)
  • Beschreibung der Schwachstelle (Auswirkung, Reproduzierbarkeit, Logfiles, pcap, CWE-ID, CVE-ID falls vorhanden)
  • Name des betroffenen Produkts (HIMax (CPU, COM, IO), HIMatrix, HIQuad, OPC-UA, SILworX...)
  • Software-Version des betroffenen Produkts
  • Seriennummer des betroffenen Produkts
  • Zusätzliche Kommentare
  • Offenlegung (Planen Sie die Offenlegung, oder ist die Schwachstelle bereits offengelegt?
  • Können oder sollen wir Sie kontaktieren?

Warum sollte man Schwachstellen melden?
Wir möchten ausdrücklich alle, nicht nur HIMA-Kunden, dazu ermutigen, Feedback zu allen HIMA Produkten und Lösungen zu geben. Alle Daten und insbesondere alle persönlichen Daten werden streng vertraulich behandelt, ohne dass eine Geheimhaltungsvereinbarung erforderlich ist. Die Meldung von Schwachstellen ermöglicht es den Anbietern, diese Schwachstellen zu beheben und die Kunden über Abhilfemaßnahmen, Workarounds und Fehlerbehebungen zu informieren. Dieser Ansatz hilft HIMA, die Robustheit und Zuverlässigkeit der HIMA Produkte und Lösungen zu verbessern. Und, was am wichtigsten ist, HIMA Kunden werden in die Lage versetzt, Sicherheitsrisiken zu managen.

Wie kann man Schwachstellen melden?
Wir bitten jeden, jede sicherheitsrelevante Schwachstelle eines HIMA Produkts oder einer HIMA Lösung zu melden. Je umfassender, präziser und detaillierter die Informationen sind, die PSIRT erhält, desto effizienter können die weiteren Schritte durchgeführt werden (siehe auch "Empfohlene Inhalte").
HIMA bietet 4 Möglichkeiten zur Kontaktaufnahme:

  1. Support anfragen support@hima.com
  2. E-mail senden an psirt@hima.com / Public Key
  3. Indirekt über unseren Partner CERT@VDE: cert.vde.com/helper/reportvuln/
  4. Whistlerblower System (anonymous)

Bevorzugte Sprachen sind Deutsch und Englisch.



Wer wird den Bericht erhalten?
HIMA stellt sicher, dass der Bericht den notwendigen Spezialisten zur Verfügung steht, um das beschriebene Problem zu beheben. Und nur ausschließlich HIMA Mitarbeitern. Externe Personen bekommen keinen Zugriff auf den Bericht.
HIMA stellt sicher, dass die Kontaktdaten der meldenden Partei vertraulich behandelt werden, es sei denn, die meldende Partei bittet ausdrücklich um die Weitergabe der Kontaktdaten.

Was wird mit dem Bericht gemacht?
HIMA PSIRT ist ein zentrales, interdisziplinäres Team bei HIMA Paul Hildebrandt. HIMA PSIRT wird die Auswirkungen und die Relevanz der gemeldeten Schwachstelle auf HIMA Produkte und Lösungen prüfen.  

Wie lange wird es dauern, bis HIMA reagiert?
Der Eingang einer gemeldeten Sicherheitslücke wird in der Regel innerhalb von 2 Arbeitstagen bestätigt.

Wie lange kann es dauern, bis das Problem gelöst ist?
Bei HIMA besteht die besondere Situation, dass der Entwicklungsprozess für Safety und Security mit den industriellen Anforderungen synchronisiert werden muss. In der Regel dauert es daher länger als in anderen Sektoren, bis Abhilfemaßnahmen oder Problemlösungen gefunden werden. Deshalb müssen wir um Geduld bitten. Auf Wunsch hält HIMA engen Kontakt mit dem Meldepflichtigen.
Da viele HIMA Komponenten und Systeme als Teile von kritischen Anlagen geliefert werden, bittet HIMA die gemeldete Partei, die Offenlegung von Informationen zu koordinieren. Dies dient dazu, die Offenlegung zu vermeiden, bis geeignete Abhilfemaßnahmen, Workarounds oder echte Fehlerbehebungen verfügbar sind.

Wie wird die Öffentlichkeit über das Ergebnis informiert?
Im Falle einer als kritisch oder hoch eingestuften Schwachstelle wird ein CVE angefordert und Sicherheitshinweise werden auf unserer Partnerplattform CERT@VDE veröffentlicht. Mittlere und niedrige Kritikalität wird mit der nächsten Produktversion in der Release Note veröffentlicht.
Kunden können sich entweder für einen RSS/Atom Feed anmelden oder direkt nach HIMA Produkten und Lösungen suchen (https://cert.vde.com/de/advisories/vendor/hima/) 
In extremen Fällen (z.B. bei Gefährdung der funktionalen Sicherheit) werden die betroffenen Kunden, soweit möglich und schnellstmöglich direkt kontaktiert.
HIMA wird immer abwägen, ob und wann wir eine Schwachstelle melden (Responsible Disclosure). In sehr seltenen Fällen kann HIMA auch Schwachstellen kommentieren, die keine HIMA Produkte und Lösungen betreffen.

Was steht in dem Hinweis?
Ein Hinweis gibt die relevanten Fakten und die Historie der Schwachstelle wieder.

Ein Leitfaden für wertvolle Informationen (alle Angaben sind freiwillig) zur schnellen Bearbeitung:

  • Persönlicher Kontakt (Name, Organisation, E-Mail, Telefon, Land)
  • Beschreibung der Schwachstelle (Auswirkung, Reproduzierbarkeit, Logfiles, pcap, CWE-ID, CVE-ID falls vorhanden)
  • Name des betroffenen Produkts (HIMax (CPU, COM, IO), HIMatrix, HIQuad, OPC-UA, SILworX...)
  • Software-Version des betroffenen Produkts
  • Seriennummer des betroffenen Produkts
  • Zusätzliche Kommentare
  • Offenlegung (Planen Sie die Offenlegung, oder ist die Schwachstelle bereits offengelegt?
  • Können oder sollen wir Sie kontaktieren?
Vorteile 

Deshalb sollten Sie bei Ihrem sicherheitskritischen System auf Cybersecurity von HIMA setzen

  • HIMA_Zertifiziert
    Normengerecht
    Mit der Cybersecurity-Lösung erfüllen Sie die Anforderungen gemäß IEC 62443.
  • HIMA_Skalierbar
    Vielseitig
    Die Lösungen lassen sich in den verschiedensten Applikationen einsetzen.
  • HIMA_Physisch_getrennt
    Getrennt 
    Sicherheitssystem und Prozessleitsystem sind voneinander unabhängig und somit cybersicher.
  • HIMA_Offen
    Unabhängig 
    HIMA-Sicherheitssysteme benutzen ihr eigenes Betriebssystem.
Drei Ebenen für zuverlässige Cybersecurity

Auf IT-Sicherheit von HIMA ist dreifach Verlass: Bei der Hardware, auf Betriebssystem- und Netzwerk-Ebene sowie im Engineering.

Ihr Kontakt zu HIMA 

Cybersecurity
HIMA_Phone
+ 49 (0) 6202 709 0

Die Anforderungen an die IT-Sicherheit verändern sich permanent. Unsere Cybersecurity-Experten sind daher nah am Puls der Entwicklungen und wissen genau, wie Cyber- und funktionale Sicherheit zusammenspielen müssen.