Dokument herunterladen () von 20
Filter löschen
Auswahl herunterladen
Wir setzen um, was wirklich zählt.*
Submit form in new Tab
Produkte
Digital
Services
Märkte
Support
Unternehmen
MyEaton
Cyber-Sicherheit

Richtlinie zur Offenlegung von Sicherheitslücken

Eaton Cybersecurity Center of Excellence (Cyber-Sicherheitszentrum)

Wir verpflichten uns dafür zu sorgen, dass Eaton Produkte für unsere Kunden sicher und unbedenklich sind. Die Cyber-Sicherheit unserer Produkte und Lösungen hat für Eaton höchste Priorität. Deshalb haben wir ein Product Cybersecurity Center of Excellence (CCoE) eingerichtet, das für die Förderung unserer Cyber-Sicherheitsinitiative verantwortlich ist.

Sicherheitsrelevante Ereignisse bei Produkten – Maßnahmen im Überblick

Das CCoE ist verantwortlich für Maßnahmen bei Vorfällen und Schwachstellen, die die Sicherheit der intelligenten Produkte von Eaton gefährden. Ein engagiertes, globales Team verantwortet die dazugehörigen Prozesse. Es bearbeitet eingehende Meldungen über Sicherheitslücken, untersucht diese, ergreift Maßnahmen, die Schwachstellen zu beheben und veröffentlicht Meldungen über Sicherheitsvorfälle bei Eaton Produkten. 

Eingang von Informationen über Sicherheitslücken

Eaton ist auf eine vertrauensvolle Zusammenarbeit mit einzelnen Forschern und Sicherheitsbehörden eingestellt. Das gilt vor allem für das U.S. Department of Homeland Security Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), verschiedene Sicherheitsbehörden sowie unsere Kunden und Außendienstmitarbeitenden, die möglicherweise Schwachstellen in Zusammenhang mit unseren Produkten entdecken und einen entsprechenden Bericht einreichen. Sicherheitslücken können hier gemeldet werden.

Eaton verpflichtet sich, keine rechtlichen Schritte gegen Personen einzuleiten, die:

  • sich an Tests bzw. der Forschung von Eaton Smart Products beteiligen, ohne dabei die Interessen von Eaton oder seinen Kunden zu beeinträchtigen;
  • Sicherheitsprüfungen durchführen – im Rahmen unserer Richtlinie zur Offenlegung von Sicherheitsrisiken oder mit unserer vorherigen Genehmigung bzw. Zustimmung;
  • Produkte testen, ohne dabei die Interessen unserer Kunden zu beeinträchtigen, oder mit vorhandener Erlaubnis bzw. Zustimmung der Kunden, Sicherheitstests bei entsprechenden Geräten/Software durchführen;
  • sich an die gesetzlichen Bestimmungen ihres eigenen und des Standorts von Eaton halten;
  • einen Schwachstellenbericht über unseren „Report an issue“-Prozess melden;
  • Details über Sicherheitslücken nicht vor Ablauf eines gemeinsam vereinbarten Zeitrahmens der Öffentlichkeit zugänglich machen.

Eingangsbestätigung und Voruntersuchung

Eaton hat einen internen Risikobewertungsprozess für den Empfang und die Eingangsbestätigung von Schwachstelleninformationen implementiert. Es folgt eine Voruntersuchung, die die gemeldete Sicherheitslücke in eine erste Bewertung einstuft. Allen extern gemeldeten Schwachstellen in Softwarebibliotheken von Drittanbietern ordnen wir eine Risikobewertung zu. Dafür verwenden wir die CVSS v3-Sicherheitsbewertungsmethode, die für das betroffene Eaton Produkt und seinen Einsatzbereich gilt. Jede Sicherheitslücke, deren CVSS Gesamtwert bei 7,0 oder höher liegt, oder vom CCoE als hohes Sicherheitsrisiko eingestuft wird, behandeln wir vorrangig.

Beseitigung oder Minimierung von Sicherheitslücken

Festgestellte Sicherheitsanfälligkeiten bei aktuell betreuten Produkten werden von Eaton behoben. Um die Sicherheitslücke gemäß der zugewiesenen Priorität zu beheben, arbeitet das CCoE-Team mit dem Produktentwicklungsteam zusammen. Ein voraussichtlicher Zeitplan für die Korrektur des Problems wird eingeschätzt und den zuständigen Stellen für Sicherheitsforschung mitgeteilt (d. h. einzelnen Wissenschaftlern, ICS-CERT oder anderen Behörden).  In dieser Phase agiert das CCoE-Team als Single Point of Contact für externe Partner und arbeitet gemeinsam mit den internen Teams, um die Sicherheitslücke zu beheben und zu testen.  Solange wir an der Lösung des Problems arbeiten, kann die Kommunikation mit der betreffenden Stelle aufrechterhalten werden, die die Sicherheitslücke gemeldet hat.

Veröffentlichung der Korrekturen

Eaton veröffentlicht die Beseitigung von Sicherheitsrisiken über den standardisierten Vertriebskanal der betroffenen Produkte Die detaillierten technischen Informationen im Zusammenhang mit den behobenen Problemen werden als Sicherheitshinweis für das betreffende Eaton Produkt veröffentlicht.

Um eine abgestimmte Veröffentlichung zu gewährleisten, arbeitet Eaton eng zusammen mit den zuständigen Stellen für Schwachstellenforschung (Vulnerability Research). Von den entsprechenden Einrichtungen erwartet Eaton, dass diese der Öffentlichkeit vor Ablauf eines gemeinsam vereinbarten Zeitrahmens keine Details über die Sicherheitslücken mitteilen.

Eaton Security Advisories

Die Veröffentlichung von Informationen über Sicherheitslücken finden Sie auf unserer Webseite über Benachrichtigungen zur Cyber-Sicherheit. Diese Webseite beinhaltet alle wichtigen Informationen zur Produktsicherheit der elektrischen Produkten von Eaton. Unseren Kunden empfehlen wir, die aktuellen Sicherheitshinweise auf dem Portal aufmerksam zu beobachten.

Wir beabsichtigen, Sicherheitshinweise für bestätigte Sicherheitslücken zu veröffentlichen, wenn eine praktische Abhilfe oder Lösung gefunden wurde. Es kann Fälle geben, in denen eine Sicherheitsmeldung herausgegeben wird, ohne dass eine Abhilfe vorliegt. Da jede Sicherheitslücke spezifisch ist, können wir alternative Maßnahmen in Verbindung mit der Bekanntgabe von Sicherheitshinweisen ergreifen. 

Eaton übernimmt keine Garantie dafür, dass für jedes einzelne Sicherheitsproblem, das die Kunden für wichtig halten, ein Sicherheitshinweis herausgegeben wird, oder dass diese zu einem bestimmten Zeitpunkt veröffentlicht werden.

Eaton behält sich das Recht vor, diese Richtlinie nach eigenem Ermessen jederzeit zu ändern.

Auszeichnung und Anerkennung

In der Eaton Hall of Recognition würdigen wir die Beiträge von Sicherheitsexperten, die Cyber-Sicherheitsprobleme untere Einhaltung der vorliegenden Richtlinie melden.

 

Mitwirkende                            Organisation Meldung
Natnael Samson Trend Micro ZDI

CVE-2020-10637

CVE-2020-10639
Ravjot Singh Samra   CVE-2020-6650
Sivathmican Sivakumaran Trend Micro ZDI

CVE-2020-6651

CVE-2020-6652
spacer
Mitwirkende                       Organisation Meldung
Emre Övünç   CVE-2018-12031
Tod Beardsly Rapid 7 CVE-2019-5625
spacer
Mitwirkende                       Organisation Meldung
Ariele Caltabiano (kimiya) Trend Micro ZDI CVE-2018-7511
Ghirmay Desta Trend Micro ZDI CVE-2018-8847
spacer

Meldungen zur Cyber-Sicherheit

Aktuelle Meldungen einsehen und sich anmelden, um Warnungen über Sicherheitslücken zu erhalten.

Jetzt ansehen
Eaton ist ein intelligentes Energiemanagementunternehmen, das sich dem Ziel verschrieben hat, für mehr Lebensqualität zu sorgen und die Umwelt zu schützen. Wir handeln verantwortlich und nachhaltig und unterstützen unsere Kunden beim Energiemanagement ─ heute und in Zukunft. Wir nutzen die globalen Wachstumstrends der Elektrifizierung und Digitalisierung, um den Übergang zu erneuerbaren Energien zu beschleunigen und die dringendsten Herausforderungen im Energiemanagement zu lösen.
Unternehmen
Quick Links
© 2025 Eaton. Alle Rechte vorbehalten.