HiTHIUM ist bestrebt, ein umfassendes System zur Reaktion auf Cybersicherheits-Schwachstellen in Produkten aufzubauen. In Übereinstimmung mit internationalen Normen (wie IEC 62443) bieten wir unseren Kunden durch ein systematisches Schwachstellenmanagement-Verfahren eine zuverlässige Absicherung und minimieren Cybersicherheitsrisiken bestmöglich. Zur effizienten Bearbeitung von Schwachstellen im Bereich der Produkt-Cybersicherheit wurde eigens ein Product Security Incident Response Team (PSIRT, im Folgenden „PSIRT“) eingerichtet. Es ist speziell zuständig für die Notfallreaktion auf Cybersicherheitsvorfälle bei Produkten sowie für den Umgang mit bekannten und potenziellen Schwachstellen und fördert gemäß dem Verfahren zur Schwachstellenoffenlegung auf transparente und effiziente Weise bewährte Praktiken der industriellen Cybersicherheit.

HiTHIUM-Schwachstellenmanagement-Verfahren für die Produkt-Cybersicherheit

HiTHIUM hat gemäß der Norm IEC 62443-4-1 ein Schwachstellenmanagement-Verfahren für die Cybersicherheit etabliert. Der Ablauf des Verfahrens stellt sich wie folgt dar:

nEingang von Cybersicherheitsinformationen: Nach Eingang extern übermittelter oder eingereichter Cybersicherheitsinformationen kontaktiert das PSIRT den Einsender innerhalb von zwei Arbeitstagen und bestätigt das gemeldete Problem. 

nLagebewertung und Auswirkungsanalyse: Das PSIRT klassifiziert die Inhalte der gemeldeten Cybersicherheitsinformationen und führt eine Lagebewertung sowie eine Auswirkungsanalyse durch, um vorab zu klären, ob die Auswirkungen eine Notfallreaktion erfordern.

nSchwachstellenanalyse und -untersuchung: Das PSIRT bewertet in Zusammenarbeit mit dem Produktentwicklungsteam die Grundursache der Schwachstelle sowie deren Eintrittswahrscheinlichkeit, beurteilt deren Gefährdungspotenzial, definiert die Schwachstellenstufe und erarbeitet Lösungen zur Risikominderung und Behebung der Schwachstelle. In dieser Phase steht das PSIRT in aktivem Austausch mit dem Meldenden. 

nSchwachstellenbehebung: Das PSIRT entwickelt in Zusammenarbeit mit dem Produktentwicklungsteam Software-/Firmware-Patches zur Behebung oder legt Maßnahmen zur Risikominderung fest. Gleichzeitig verfolgt das PSIRT fortlaufend die Informationen zu den betreffenden Schwachstellen, um deren Schweregrad korrekt zu bewerten. Ist die Risikostufe einer Schwachstelle hoch und die Entwicklung des Patches zeitaufwendig, werden den Kunden bereits vor Fertigstellung der endgültigen Lösung Sofortmaßnahmen zur Risikominderung bereitgestellt. 

nSchwachstellenoffenlegung: Sobald eine Schwachstelle behoben ist, veröffentlicht das PSIRT das Ergebnis der Schwachstellenbehebung auf der Seite „Cybersicherheitshinweise“ der HiTHIUM-Website. Die Inhalte umfassen: Beschreibung der Schwachstelle, möglicherweise betroffene Produkte und Versionen, Maßnahmen zur Risikominderung, Behebungsplan usw.

Das PSIRT und das F&E-Team von HiTHIUM analysieren und bewerten Schwachstellen anhand des Common Vulnerability Scoring System (CVSS) sowie der im HiTHIUM-Schwachstellenmanagement-Verfahren definierten Faktoren wie Eintrittswahrscheinlichkeit und Auswirkung, ermitteln daraus den Risikowert der Schwachstelle und bestimmen auf Basis der Definition des Risikowerts den Zeitrahmen für die Behebung. Während der Schwachstellenbehebung tritt das PSIRT bei Bedarf in weiteren Austausch mit dem Meldenden, um Schwachstellenanalyse, Lösungserörterung und Einholung von Rückmeldungen vorzunehmen.

Informationen zur Aktualisierung und Veröffentlichung von Cybersicherheitshinweisen für Produkte finden Sie auf der Seite „Cybersicherheitshinweise“. Aufgrund der besonderen Eigenschaften und Sicherheitsanforderungen von Energiespeicherprodukten werden eigenständige Software-/Firmware-Updates durch den Nutzer derzeit nicht unterstützt. Für den Bezug von Schwachstellen-Patches und Updates sowie für Installationsanleitungen wenden Sie sich bitte an einen HiTHIUM-Kundendienstingenieur.

Meldekanal für Cybersicherheits-Schwachstellen in Produkten

Wenn Sie eine potenzielle Schwachstelle in einem HiTHIUM-Produkt entdecken, kontaktieren Sie uns bitte umgehend per verschlüsselter E-Mail. Eine zeitnahe Meldung ist entscheidend für die Risikominderung.

Bitte stellen Sie folgende Informationen für eine schnelle Bearbeitung bereit:

1. Produktmodell und Software-/Firmware-Version

2. Umgebung und Schritte zur Reproduktion der Schwachstelle (mit Protokollen oder Screenshots)

3. Proof-of-Concept-Code (sofern zutreffend)

4. Beschreibung des Angriffsszenarios der Schwachstelle

5. Netzwerk-Mitschnittdaten (z. B. Wireshark-Aufzeichnungen)

6. Sonstige relevante technische Details

Cybersicherheits-Kontakt-E-Mail von HITHIUM: IACS-CyberSecurity@Hithium.com

Haftungsausschluss

Diese Grundsätze des Schwachstellenmanagements können je nach tatsächlicher Sachlage angepasst werden. HiTHIUM verpflichtet sich nicht, auf alle Problemmeldungen zu reagieren. Die Nutzung dieses Dokuments oder der damit verlinkten Inhalte erfolgt auf eigenes Risiko des Nutzers. Wir behalten uns das Recht vor, diese Grundsätze jederzeit zu ändern; die aktualisierte Fassung wird auf der offiziellen Website (http://www.hithium.com) veröffentlicht.