Sicherheit bei Miele
Miele als Hersteller qualitativ hochwertiger und langlebiger Produkte stellt auch an die Cybersicherheit seiner vernetzten Geräte, Apps und Web-Anwendungen höchste Anforderungen. Unsere spezialisierten Teams für Cybersecurity setzen alles daran, Ihre Privatsphäre zu schützen.
Miele kooperiert mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), ist Mitglied der Allianz für Cybersicherheit, Teil des CERT@VDE Beirats und arbeitet mit vielen anerkannten Sicherheitsexperten zusammen.
Meldung von Schwachstellen
Bitte schicken Sie Ihre Hinweise an die folgende Adresse:
it-security@miele.com
Betrifft Ihr Hinweis eines unserer Produkte oder Mobilen Applikationen, dann können Sie sich auch gerne direkt an unser Product Security Incident Reponse Team wenden:
psirt@miele.com
Ihre Meldung enthält idealerweise diese Informationen:
- Betroffenes Produkt/Anwendung
- Beschreibung der Schwachstelle
- Falls verfügbar: Proof-of-concept, Exploit oder Netzwerk-Mitschnitte
Auch wenn Sie sich nicht ganz sicher sind: Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir
weitere Fragen haben.
Servicemeldungen
ID, Titel | Version | Letzte Änderung (DD/MM/YYYY) | Download |
---|---|---|---|
MPSB-2019-001, Updates für IBH NetBox | 1.0 | 06/02/2019 | Herunterladen |
MPSB-2019-002, Information on Microsoft RDP Remote Code Execution Vulnerability | 1.0 | 28/05/2019 | Herunterladen |
Security Meldungen
ID, Titel | Version | Letzte Änderung (TT/MM/JJJJ) | Download |
---|---|---|---|
PSIRT-2019-001, Sicherheitslücken in XGW3000 ZigBee Gateway | 1.0 | 17/05/2019 | Herunterladen |
Treck TCP/IP Sicherheitslücken (Ripple20) betreffen Ethernet Kommunikationsmodul XKM3000 L MED | 1.0 | 08/07/2020 | Herunterladen |
Miele Benchmark Programming Tool | 1.0 | 12/05/2022 | Herunterladen |
appWash | 1.0 | 21/11/2022 | Herunterladen |
Disclosure Policy
Miele Vulnerability Disclosure Policy
Prozess zur Meldung und Veröffentlichung von Sicherheitslücken
1. Einleitung
Als Hersteller für qualitativ hochwertige und langlebiger Produkte hat die Sicherheit unserer Kundendaten oberste Priorität und ist ein Unternehmenswert von Miele. Daher begrüßen wir jeden Beitrag externer Sicherheitsexperten, um die Sicherheit unserer Produkte und unserer IT-Anwendungen zu verbessern. Diese Richtlinie definiert den Rahmen, den Miele für die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen zusichert. Diese Richtlinie gilt in ihrer jeweils aktuellen Fassung, wobei Änderungen vorbehalten sind.
2. Geltungsbereich
Diese Richtlinie gilt für alle vernetzten bzw. vernetzungsfähigen Produkte und Komponenten, die von Miele entwickelt, hergestellt oder vermarktet werden sowie für alle öffentlich zugänglichen Miele IT-Anwendungen.
Wir sind an Meldungen zu Schwachstellen interessiert, die ausnutzbar sind, direkt zu einer ausnutzbaren Schwachstelle führen oder es ermöglichen, Benutzerdaten aus der Ferne zu kompromittieren.
Bitte beachten Sie, dass Meldungen zu Schwachstellen mit minimalen Auswirkungen auf die Sicherheit (z. B. fehlende Header), nicht verifizierte Ergebnisse von automatisierten Scans, Schwachstellen, die sich der Kontrolle von Miele entziehen oder Schwachstellen, die gegen die unten genannten Anforderungen verstoßen, nicht berücksichtigt werden.
3. Berechtigung und verantwortungsvolle Offenlegung
Haben Sie eine Schwachstelle in einer IT-Anwendung entdeckt oder möchten Sie einen Sicherheitsvorfall melden, bitten wir, dass Sie alle nötigen Informationen an die folgende E-Mail-Adresse schicken:
it-security@miele.com
Wenn Ihre Erkenntnisse oder Anmerkungen eines unserer Produkte oder unsere mobilen Anwendungen betreffen, können Sie sich direkt an unser Product Security Incident Response Team (PSIRT) wenden.
psirt@miele.com
Ihre E-Mail sollte folgende Informationen beinhalten:
- Betroffene(s) Produkt/Anwendung
- Beschreibung der festgestellten Schwachstelle
- Soweit vorhanden: Proof-of-Concept-Quellcode, Exploit bzw. Log-Dateien
Um den Meldeprozess zu beschleunigen, bitten wir Sie:
- Die Sicherheitsvorfälle mit uns im Detail zu teilen;
- Auf unsere vorhandenen Anwendungen Rücksicht zu nehmen und deren Betrieb nicht zu stören;
- Uns eine angemessene Antwortzeit zu geben, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitte wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren;
- Nicht ohne unsere ausdrückliche Genehmigung des Eigentümers auf unsere Daten oder die Daten unserer Benutzer zuzugreifen oder diese zu ändern. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu;
- Uns umgehend zu kontaktieren, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie sofort alle lokalen Kopien der Daten nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben;
- Gutwillig zu handeln, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden; und
- Sich an alle geltenden Gesetze zu halten.
4. Folgen der Einhaltung dieser Richtlinie
Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen unbeabsichtigter, gutgläubiger Verstöße gegen diese Richtlinie in ihrer jeweils aktuellen Fassung einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden als "autorisiertes" Verhalten. Soweit Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieser Richtlinie einsetzen, umgangen haben.
Wir möchten uns bei Ihnen für Ihre Kooperation bedanken. Ihre Hinweise und Nachrichten unterstützen uns dabei, unsere Systeme sicherer zu machen. Als Anerkennung möchten wir Sie daher in unserer Hall of Fame begrüßen. Bitte teilen Sie uns mit, ob und unter welchem Namen wir Sie dort auflisten können.
Hall of Thanks
Miele dankt allen Personen und Organisationen, die dazu beigetragen haben die Sicherheit der Geräte, Apps und Webanwendungen zu erhöhen.
Name | Organisation | Jahr |
---|---|---|
April 2024 |
||
Dzmitry Smaliak |
März 2024 |
|
Bob van der Staak |
Juni 2023 |
|
Daniel Waßmer |
Februar 2023 |
|
Phyo WaThone Win |
Januar 2023 |
|
Bishoy Roufael |
November 2022 |
|
Subhamoy Guha |
Mai 2022 |
|
Yassine Nafiai |
Juli 2021 |
|
Gourab Sadhukhan |
Dezember 2020 |
|
Senna van Hoek |
August 2020 |
|
Pritam Mukherjee |
July 2020 |
|
Ismail Tasdelen |
Februar 2020 |
|
Maxim Rupp |
rupp.it |
Mai 2019 |
Ismail Tasdelen |
Februar 2018 |
|
SecuNinja (@secuninja) |
April 2017 |