Sicherheit bei Miele

Miele als Hersteller qualitativ hochwertiger und langlebiger Produkte stellt auch an die Cybersicherheit seiner vernetzten Geräte, Apps und Web-Anwendungen höchste Anforderungen. Unsere spezialisierten Teams für Cybersecurity setzen alles daran, Ihre Privatsphäre zu schützen.

Miele kooperiert mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), ist Mitglied der Allianz für Cybersicherheit, Teil des CERT@VDE Beirats und arbeitet mit vielen anerkannten Sicherheitsexperten zusammen.

 

Meldung von Schwachstellen

Bitte schicken Sie Ihre Hinweise an die folgende Adresse:
it-security@miele.com

Betrifft Ihr Hinweis eines unserer Produkte oder Mobilen Applikationen, dann können Sie sich auch gerne direkt an unser Product Security Incident Reponse Team wenden:
psirt@miele.com

Ihre Meldung enthält idealerweise diese Informationen:

  • Betroffenes Produkt/Anwendung
  • Beschreibung der Schwachstelle
  • Falls verfügbar: Proof-of-concept, Exploit oder Netzwerk-Mitschnitte

Auch wenn Sie sich nicht ganz sicher sind: Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir
weitere Fragen haben.

 

Servicemeldungen

ID, Titel Version Letzte Änderung (DD/MM/YYYY) Download
MPSB-2019-001, Updates für IBH NetBox 1.0 06/02/2019 Herunterladen
MPSB-2019-002, Information on Microsoft RDP Remote Code Execution Vulnerability 1.0 28/05/2019 Herunterladen

Security Meldungen

ID, Titel Version Letzte Änderung (TT/MM/JJJJ) Download
PSIRT-2019-001, Sicherheitslücken in XGW3000 ZigBee Gateway 1.0 17/05/2019 Herunterladen

Disclosure Policy

Miele Vulnerability Disclosure Policy

Prozess zur Meldung und Veröffentlichung von Sicherheitslücken

1. Einleitung

Als Hersteller für qualitativ hochwertige und langlebiger Produkte hat die Sicherheit unserer Kundendaten oberste Priorität und ist ein Unternehmenswert von Miele. Daher begrüßen wir jeden Beitrag externer Sicherheitsexperten, um die Sicherheit unserer Produkte und unserer IT-Anwendungen zu verbessern. Diese Richtlinie definiert den Rahmen, den Miele für die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen zusichert. Diese Richtlinie gilt in ihrer jeweils aktuellen Fassung, wobei Änderungen vorbehalten sind.
 

2. Geltungsbereich

Diese Richtlinie gilt für alle vernetzten bzw. vernetzungsfähigen Produkte und Komponenten, die von Miele entwickelt, hergestellt oder vermarktet werden sowie für alle öffentlich zugänglichen Miele IT-Anwendungen.

Wir sind an Meldungen zu Schwachstellen interessiert, die ausnutzbar sind, direkt zu einer ausnutzbaren Schwachstelle führen oder es ermöglichen, Benutzerdaten aus der Ferne zu kompromittieren.

Bitte beachten Sie, dass Meldungen zu Schwachstellen mit minimalen Auswirkungen auf die Sicherheit (z. B. fehlende Header), nicht verifizierte Ergebnisse von automatisierten Scans, Schwachstellen, die sich der Kontrolle von Miele entziehen oder Schwachstellen, die gegen die unten genannten Anforderungen verstoßen, nicht berücksichtigt werden.

3. Berechtigung und verantwortungsvolle Offenlegung

Haben Sie eine Schwachstelle in einer IT-Anwendung entdeckt oder möchten Sie einen Sicherheitsvorfall melden, bitten wir, dass Sie alle nötigen Informationen an die folgende E-Mail-Adresse schicken:

it-security@miele.com

Wenn Ihre Erkenntnisse oder Anmerkungen eines unserer Produkte oder unsere mobilen Anwendungen betreffen, können Sie sich direkt an unser Product Security Incident Response Team (PSIRT) wenden.

psirt@miele.com

 

Ihre E-Mail sollte folgende Informationen beinhalten:

  • Betroffene(s) Produkt/Anwendung
  • Beschreibung der festgestellten Schwachstelle
  • Soweit vorhanden: Proof-of-Concept-Quellcode, Exploit bzw. Log-Dateien

Um den Meldeprozess zu beschleunigen, bitten wir Sie:

  • Die Sicherheitsvorfälle mit uns im Detail zu teilen;
  • Auf unsere vorhandenen Anwendungen Rücksicht zu nehmen und deren Betrieb nicht zu stören;
  • Uns eine angemessene Antwortzeit zu geben, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitte wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren;
  • Nicht ohne unsere ausdrückliche Genehmigung des Eigentümers auf unsere Daten oder die Daten unserer Benutzer zuzugreifen oder diese zu ändern. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu;
  • Uns umgehend zu kontaktieren, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie sofort alle lokalen Kopien der Daten nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben;
  • Gutwillig zu handeln, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
  • Sich an alle geltenden Gesetze zu halten.


4. Folgen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen unbeabsichtigter, gutgläubiger Verstöße gegen diese Richtlinie in ihrer jeweils aktuellen Fassung einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden als "autorisiertes" Verhalten. Soweit Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieser Richtlinie einsetzen, umgangen haben.

Wir möchten uns bei Ihnen für Ihre Kooperation bedanken. Ihre Hinweise und Nachrichten unterstützen uns dabei, unsere Systeme sicherer zu machen. Als Anerkennung möchten wir Sie daher in unserer Hall of Fame begrüßen. Bitte teilen Sie uns mit, ob und unter welchem Namen wir Sie dort auflisten können.

 

 

Hall of Thanks

Miele dankt allen Personen und Organisationen, die dazu beigetragen haben die Sicherheit der Geräte, Apps und Webanwendungen zu erhöhen.

Name Organisation Jahr

SecuNinja (@secuninja) 

April 2017

Ismail Tasdelen

Februar 2018

Maxim Rupp

rupp.it

Mai 2019

Kontakt IT Sicherheit

Für allgemeine Fragen oder Hinweise mit Bezug zu Cybersicherheit kontaktieren Sie bitte: it-security@miele.com

Fingerprint:
7924 2E0F EA0E B526 6C5F 6DF9 0FE7 B970 C3DA A564

PGP Public Key

Kontakt PSIRT

Für Fragen oder Hinweise bezüglich der Cybersicherheit unserer Produkte und Mobilen Anwendungen kontaktieren Sie bitte: psirt@miele.com

Miele Product Security Incident Response Team

Fingerprint: 3544 22B0 B4DC E503 5E22 32CA C7B4 635B 14C1 01AA

PGP Public Key
DE EN