RSA ist bestrebt, seinen Kunden dabei zu helfen, das mit Sicherheitsl\u00fccken in unseren Produkten verbundene Risiko zu minimieren. Unser Ziel ist es, unseren Kunden rechtzeitig Informationen, Anleitungen und Optionen zur Behebung von Schwachstellen zur Verf\u00fcgung zu stellen. Das RSA Product Security Incident Response Team (RSA PSIRT) wurde gegr\u00fcndet und ist f\u00fcr die Koordinierung der Reaktion und Offenlegung aller Produktschwachstellen verantwortlich, die RSA gemeldet werden.<\/p>\n
Wenn Sie eine Sicherheitsl\u00fccke in einem RSA-Produkt entdecken, melden Sie uns diese bitte umgehend. Sicherheitsforscher, Branchengruppen, Anbieter und andere Benutzer, die keinen Zugang zum technischen Support haben, sollten Berichte \u00fcber Sicherheitsl\u00fccken direkt an die RSA\u00a0PSIRT per E-Mail<\/a>. Die rechtzeitige Erkennung von Sicherheitsschwachstellen ist entscheidend f\u00fcr die Abschw\u00e4chung potenzieller Risiken f\u00fcr unsere Kunden.<\/p>\n Kunden und Partner von RSA-Produkten sollten sich an ihr jeweiliges technisches Support-Team wenden, um Sicherheitsprobleme zu melden, die in RSA-Produkten entdeckt wurden. Das Team des technischen Supports, das entsprechende Produktteam und das RSA PSIRT arbeiten zusammen, um das gemeldete Problem zu beheben und die Kunden \u00fcber die n\u00e4chsten Schritte zu informieren.<\/p>\n Wenn Sie eine potenzielle Schwachstelle melden, geben Sie bitte m\u00f6glichst viele der unten aufgef\u00fchrten Informationen an, damit wir Art und Umfang des gemeldeten Problems besser verstehen k\u00f6nnen:<\/p>\n RSA ist bestrebt, eine gute Beziehung zu Sicherheitsforschern aufrechtzuerhalten, und kann mit deren Einverst\u00e4ndnis den Forscher daf\u00fcr anerkennen, dass er eine g\u00fcltige Produktschwachstelle gefunden und das Problem vertraulich gemeldet hat. Im Gegenzug bitten wir die Forscher, uns die M\u00f6glichkeit zu geben, die Schwachstelle zu beheben, bevor wir sie \u00f6ffentlich bekannt geben. RSA ist der Ansicht, dass die Koordinierung der \u00f6ffentlichen Bekanntgabe einer Schwachstelle der Schl\u00fcssel zum Schutz unserer Kunden ist.<\/p>\n Gem\u00e4\u00df dieser Richtlinie sollen alle offengelegten Informationen \u00fcber Schwachstellen zwischen RSA und der meldenden Partei verbleiben - sofern die Informationen nicht bereits \u00f6ffentlich bekannt sind -, bis eine Abhilfe verf\u00fcgbar ist und die Offenlegungsaktivit\u00e4ten koordiniert werden.<\/p>\n Nach der Untersuchung und Validierung einer gemeldeten Schwachstelle versuchen wir, eine geeignete Abhilfema\u00dfnahme f\u00fcr Produkte zu entwickeln und zu qualifizieren, die von RSA aktiv unterst\u00fctzt werden. Eine Abhilfe kann eine oder mehrere der folgenden Formen annehmen:<\/p>\n RSA bem\u00fcht sich nach Kr\u00e4ften, die Abhilfe oder Korrekturma\u00dfnahme in der k\u00fcrzesten kommerziell vertretbaren Zeit bereitzustellen. Die Reaktionszeiten h\u00e4ngen von vielen Faktoren ab, wie z. B. dem Schweregrad, der Auswirkung, der Komplexit\u00e4t der Abhilfema\u00dfnahmen, der betroffenen Komponente (z. B. erfordern einige Updates l\u00e4ngere Validierungszyklen oder k\u00f6nnen nur in einer Hauptversion aktualisiert werden), dem Stadium des Produkts innerhalb seines Lebenszyklus und dem Status des Gesch\u00e4ftsbetriebs, um nur einige zu nennen.<\/p>\n RSA verwendet derzeit die\u00a0Gemeinsames System zur Bewertung von Schwachstellen<\/a>\u00a0Version 3.1 (CVSS v3.1) ein offenes Rahmenwerk f\u00fcr die Mitteilung der Merkmale und des Schweregrads von Software-Schwachstellen von RSA. Dabei werden viele Faktoren ber\u00fccksichtigt, darunter der Aufwand, der zur Ausnutzung einer Schwachstelle erforderlich ist, sowie die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Daten oder Gesch\u00e4ftsaktivit\u00e4ten.<\/p>\n Die Gesamtauswirkung eines Sicherheitshinweises ist eine textuelle Darstellung des Schweregrads (d. h. kritisch, hoch, mittel und niedrig), die der CVSS Severity Qualitative Severity Rating Scale f\u00fcr den h\u00f6chsten CVSS Base Score aller identifizierten Schwachstellen folgt. Sofern zutreffend, gibt RSA die Gesamtauswirkungen der Empfehlung und f\u00fcr jede identifizierte Schwachstelle den CVSS v3.1 Base Score und den entsprechenden CVSS v3.1 Vector an. RSA empfiehlt allen Kunden, sowohl den Base Score als auch alle zeitlichen und\/oder umgebungsbezogenen Metriken zu ber\u00fccksichtigen, die f\u00fcr ihre Umgebung relevant sein k\u00f6nnen, um ihr Gesamtrisiko zu bewerten.<\/p>\n In der Regel informieren wir unsere Kunden \u00fcber Abhilfema\u00dfnahmen in Form von RSA-Sicherheitshinweisen, sofern zutreffend. Zum Schutz unserer Kunden ist RSA bestrebt, einen Sicherheitshinweis zu ver\u00f6ffentlichen, sobald wir eine Abhilfema\u00dfnahme f\u00fcr ein oder mehrere betroffene Produkte getroffen haben. RSA kann Sicherheitshinweise fr\u00fcher ver\u00f6ffentlichen, um angemessen auf \u00f6ffentliche Enth\u00fcllungen oder weithin bekannte Schwachstellen in den in unseren Produkten verwendeten Komponenten zu reagieren.<\/p>\n Sicherheitshinweise sollen gen\u00fcgend Details liefern, damit die Kunden die Auswirkungen von Schwachstellen absch\u00e4tzen und potenziell gef\u00e4hrdete Produkte abstellen k\u00f6nnen. Um die Wahrscheinlichkeit zu verringern, dass b\u00f6swillige Benutzer die Informationen ausnutzen und zum Nachteil unserer Kunden auswerten k\u00f6nnen, k\u00f6nnen die Einzelheiten eingeschr\u00e4nkt werden.<\/p>\n RSA-Sicherheitshinweise enthalten in der Regel die folgenden Informationen, sofern zutreffend:<\/p>\n Die RSA-Richtlinie sieht vor, keine Informationen \u00fcber die Besonderheiten von Schwachstellen bereitzustellen, die \u00fcber die Sicherheitshinweise und die zugeh\u00f6rige Dokumentation (z. B. Versionshinweise, Knowledgebase-Artikel, FAQs usw.) hinausgehen. Wir verbreiten keinen Exploit- oder Proof-of-Concept-Code f\u00fcr identifizierte Schwachstellen. In \u00dcbereinstimmung mit den branchen\u00fcblichen Praktiken gibt RSA die Ergebnisse seiner internen Sicherheitstests oder andere Arten von Sicherheitsaktivit\u00e4ten nicht an externe Stellen weiter.<\/a><\/p>\n Wenn Sie RSA ein anderes Sicherheitsproblem melden m\u00f6chten, wenden Sie sich bitte an die unten aufgef\u00fchrten Ansprechpartner:<\/p>\n\n
Umgang mit Schwachstellenberichten<\/h3>\n
Behebung von Schwachstellen<\/h3>\n
\n
Auswirkungen und Schweregrad<\/h3>\n
Abhilfe Kommunikation<\/h3>\n
\n
Zus\u00e4tzliche Informationen zur Offenlegung<\/h3>\n
Benachrichtigung von RSA \u00fcber andere Sicherheitsprobleme<\/h3>\n