Sicherheit bei Miele

Miele als Hersteller qualitativ hochwertiger und langlebiger Produkte stellt auch an die Cybersicherheit seiner vernetzten Geräte, Apps und Web-Anwendungen höchste Anforderungen. Unsere spezialisierten Teams für Cybersecurity setzen alles daran, Ihre Privatsphäre zu schützen.

Miele kooperiert mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), ist Mitglied der Allianz für Cybersicherheit, Teil des CERT@VDE Beirats und arbeitet mit vielen anerkannten Sicherheitsexperten zusammen.

 

Meldung von Schwachstellen

Bitte schicken Sie Ihre Hinweise an die folgende Adresse:
it-security@miele.com

Betrifft Ihr Hinweis eines unserer Produkte oder Mobilen Applikationen, dann können Sie sich auch gerne direkt an unser Product Security Incident Reponse Team wenden:
psirt@miele.com

Ihre Meldung enthält idealerweise diese Informationen:

  • Betroffenes Produkt/Anwendung
  • Beschreibung der Schwachstelle
  • Falls verfügbar: Proof-of-concept, Exploit oder Netzwerk-Mitschnitte

Auch wenn Sie sich nicht ganz sicher sind: Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir
weitere Fragen haben.

 

Servicemeldungen

ID, Titel Version Letzte Änderung (DD/MM/YYYY) Download
MPSB-2019-001, Updates für IBH NetBox 1.0 06/02/2019 Herunterladen
MPSB-2019-002, Information on Microsoft RDP Remote Code Execution Vulnerability 1.0 28/05/2019 Herunterladen

Security Meldungen

ID, Titel Version Letzte Änderung (TT/MM/JJJJ) Download
PSIRT-2019-001, Sicherheitslücken in XGW3000 ZigBee Gateway 1.0 17/05/2019 Herunterladen
Treck TCP/IP Sicherheitslücken (Ripple20) betreffen Ethernet Kommunikationsmodul XKM3000 L MED 1.0 08/07/2020 Herunterladen
Miele Benchmark Programming Tool 1.0 12/05/2022 Herunterladen
appWash 1.0 21/11/2022 Herunterladen

Disclosure Policy

Miele Vulnerability Disclosure Policy

Prozess zur Meldung und Veröffentlichung von Sicherheitslücken

1. Einleitung

Als Hersteller für qualitativ hochwertige und langlebiger Produkte hat die Sicherheit unserer Kundendaten oberste Priorität und ist ein Unternehmenswert von Miele. Daher begrüßen wir jeden Beitrag externer Sicherheitsexperten, um die Sicherheit unserer Produkte und unserer IT-Anwendungen zu verbessern. Diese Richtlinie definiert den Rahmen, den Miele für die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen zusichert. Diese Richtlinie gilt in ihrer jeweils aktuellen Fassung, wobei Änderungen vorbehalten sind.
 

2. Geltungsbereich

Diese Richtlinie gilt für alle vernetzten bzw. vernetzungsfähigen Produkte und Komponenten, die von Miele entwickelt, hergestellt oder vermarktet werden sowie für alle öffentlich zugänglichen Miele IT-Anwendungen.

Wir sind an Meldungen zu Schwachstellen interessiert, die ausnutzbar sind, direkt zu einer ausnutzbaren Schwachstelle führen oder es ermöglichen, Benutzerdaten aus der Ferne zu kompromittieren.

Bitte beachten Sie, dass Meldungen zu Schwachstellen mit minimalen Auswirkungen auf die Sicherheit (z. B. fehlende Header), nicht verifizierte Ergebnisse von automatisierten Scans, Schwachstellen, die sich der Kontrolle von Miele entziehen oder Schwachstellen, die gegen die unten genannten Anforderungen verstoßen, nicht berücksichtigt werden.

3. Berechtigung und verantwortungsvolle Offenlegung

Haben Sie eine Schwachstelle in einer IT-Anwendung entdeckt oder möchten Sie einen Sicherheitsvorfall melden, bitten wir, dass Sie alle nötigen Informationen an die folgende E-Mail-Adresse schicken:

it-security@miele.com

Wenn Ihre Erkenntnisse oder Anmerkungen eines unserer Produkte oder unsere mobilen Anwendungen betreffen, können Sie sich direkt an unser Product Security Incident Response Team (PSIRT) wenden.

psirt@miele.com

 

Ihre E-Mail sollte folgende Informationen beinhalten:

  • Betroffene(s) Produkt/Anwendung
  • Beschreibung der festgestellten Schwachstelle
  • Soweit vorhanden: Proof-of-Concept-Quellcode, Exploit bzw. Log-Dateien

Um den Meldeprozess zu beschleunigen, bitten wir Sie:

  • Die Sicherheitsvorfälle mit uns im Detail zu teilen;
  • Auf unsere vorhandenen Anwendungen Rücksicht zu nehmen und deren Betrieb nicht zu stören;
  • Uns eine angemessene Antwortzeit zu geben, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitte wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren;
  • Nicht ohne unsere ausdrückliche Genehmigung des Eigentümers auf unsere Daten oder die Daten unserer Benutzer zuzugreifen oder diese zu ändern. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu;
  • Uns umgehend zu kontaktieren, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie sofort alle lokalen Kopien der Daten nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben;
  • Gutwillig zu handeln, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
  • Sich an alle geltenden Gesetze zu halten.


4. Folgen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen unbeabsichtigter, gutgläubiger Verstöße gegen diese Richtlinie in ihrer jeweils aktuellen Fassung einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden als "autorisiertes" Verhalten. Soweit Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieser Richtlinie einsetzen, umgangen haben.

Wir möchten uns bei Ihnen für Ihre Kooperation bedanken. Ihre Hinweise und Nachrichten unterstützen uns dabei, unsere Systeme sicherer zu machen. Als Anerkennung möchten wir Sie daher in unserer Hall of Fame begrüßen. Bitte teilen Sie uns mit, ob und unter welchem Namen wir Sie dort auflisten können.

 

 

Hall of Thanks

Miele dankt allen Personen und Organisationen, die dazu beigetragen haben die Sicherheit der Geräte, Apps und Webanwendungen zu erhöhen.

Name Organisation Jahr

Ruben Meeuwissen

April 2024

Dzmitry Smaliak

März 2024

Bob van der Staak

Juni 2023

Daniel Waßmer

Februar 2023

Phyo WaThone Win

Januar 2023

Bishoy Roufael

November 2022

Subhamoy Guha

Mai 2022

Yassine Nafiai

Juli 2021

Gourab Sadhukhan

Dezember 2020

Senna van Hoek

August 2020

Pritam Mukherjee

July 2020

Ismail Tasdelen

Februar 2020

Maxim Rupp

rupp.it

Mai 2019

Ismail Tasdelen

Februar 2018

SecuNinja (@secuninja) 

April 2017

DE EN