Informationen zur Cyber-Security

Die VEGA Grieshaber KG ist dankbar für jeden Hinweis zu Sicherheitsrisiken und bearbeitet diese gewissenhaft und transparent. Meldungen bezüglich Schwachstellen erfolgen in der Regel von Forschern, Kunden, Industriegruppen, CERTs, Partnern oder der allgemeinen Öffentlichkeit. Durch das Aufdecken von Schwachstellen können wir unseren Kunden eine konstante und hohe Sicherheitsqualität bieten. Daher liegt es in unserem Interesse, Schwachstellen zu erkennen und eine zufriedenstellende Lösung zu entwickeln.

Während des gesamten Vorgangs sind wir bestrebt, vertrauensvoll und professionell mit allen Beteiligten zusammenzuarbeiten. Selbstverständlich respektieren wir dabei stets die Interessen der meldenden Partei. Um einen transparenten Ablauf zu fördern, wird der gesamte Schwachstellenbehandlungsprozess in diesem Dokument beschrieben. Bei Fragen zum Vulnerability Handling at VEGA kontaktieren Sie uns bitte unter psirt@vega.com. Die Kommunikation mit dem Berichterstatter kann über die Sicherheitsplattform CERT@VDE erfolgen. Die Offenlegung der Schwachstelle wird ebenfalls bei CERT@VDE und auf unserer Homepage einzusehen sein. Weitere Informationen bzgl. unseres Partners erhalten Sie auf dessen Webseite.

Falls Sie eine Sicherheitslücke in unseren Systemen erkennen, bitten wir Sie, uns diese unverzüglich zu melden. Wir verpflichten uns, Ihnen innerhalb eines Werktages auf Ihren Bericht zu antworten. Sollten Sie keine Rückmeldung erhalten, setzen Sie sich bitte erneut mit uns in Verbindung.
Es können nur E-Mails berücksichtigt werden, die in den Sprachen Englisch oder Deutsch verfasst sind.

Eine Schwachstellenmeldung sollte über psirt@vega.com erfolgen. Sollten Sie Ihre Nachricht verschlüsseln wollen, ist dies über CERT@VDE möglich.
Möchten Sie eine größere Datenmenge an uns schicken, bieten wir Ihnen ebenfalls einen Datentransferservice an. Genauere Informationen erhalten Sie über diesen Link: https://transfer.vega.com/

Wir bitten Sie, in Ihrem Bericht die aufgeführten Informationen anzugeben:

• Das betroffene System + Versionsnummer
• Detaillierte Beschreibung der Schwachstelle
• Status der Veröffentlichung der Schwachstelle
• Bevorzugter Kommunikationsweg für Rückfragen und Updates

Alternativ haben Sie die Möglichkeit, die Schwachstelle über CERT@VDE zu melden. Informationen über CERT@VDE erhalten Sie unter https://cert.vde.com

Der eingehende Bericht wird zunächst von uns geprüft und analysiert. Anschließend wird er an die entsprechende Abteilung weitergeleitet. Sollten wir weitere Informationen benötigen, nehmen wir mit dem Berichterstatter Kontakt auf.

Unser PSIRT führt zusammen mit der produktverantwortlichen Abteilung den Schwachstellenbehandlungsprozess durch. In diesen Prozess können weitere Parteien eingebunden werden. 
Die Lösung zur gemeldeten Schwachstelle wird dem Melder kommuniziert.

Die Schwachstelle wird zu einem abgestimmten Zeitpunkt veröffentlicht. Dort werden alle benötigten Informationen inkl. der getroffenen Maßnahmen offengelegt. Mit Zustimmung des Berichterstatters wird dieser auf unserer Webseite für die Kooperation gewürdigt.

Richtlinie zum Umgang mit Schwachstellen