Suche
Kaggle Linkedin Xing Github
Aunovis Logo. Kundenspezifische Softwareentwicklung für die smarte Industrie.

Security Portal.

Die Sicherheit unserer Produkte und die Transparenz gegenüber unseren Kund:innen haben bei AUNOVIS höchste Priorität. Auf dieser Seite finden Sie alle wichtigen Informationen zu den Sicherheitsmechanismen, die wir zum Schutz unserer Software und Daten einsetzen, sowie zu unseren Richtlinien im Umgang mit Sicherheitslücken.

Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte über unseren Security-Kontakt. Wir prüfen Ihre Meldung strukturiert, vertraulich und gemäß unserer Coordinated Disclosure Policy. Erfahren Sie außerdem, wie Sie die Gültigkeit unserer digitalen Signaturen überprüfen können, welche Rolle Software Bill of Materials (SBOMs) für Transparenz und Sicherheit spielen und wie Sie die Advisories (CSAF) herunterladen können.

Sicherheitslücke melden
Security-Kontakt
SBOMs
Bug Bounty
Advisories (CSAF)
Digitale Signaturen
Hall of Fame

Sicherheitslücke melden / Report Vulnerability.

Coordinated Disclosure Policy

Wenn Sie eine Sicherheitslücke in einem unserer Produkte oder in unserer Webpräsenz finden, möchten wir diese gemeinsam mit Ihnen verantwortungsvoll, transparent und schnell beheben.

Wir bitten Sie um Folgendes:

  • Melden Sie uns die Schwachstelle an unseren Security-Kontakt.
  • Beschreiben Sie möglichst präzise und mit genügend Informationen, damit wir die Schwachstelle nachvollziehen und  reproduzieren können.
  • Geben Sie uns eine Kontaktmöglichkeit, damit wir bei Rückfragen mit Ihnen in Verbindung treten können.

Darüber hinaus bitten wir Sie nachdrücklich:

  • Informieren Sie keine unbeteiligten Dritten über die Schwachstelle.
  • Nutzen Sie die Lücke nur so weit aus, wie es für einen Proof of Concept notwendig ist.
  • Veröffentlichen Sie keine Tools oder Anleitungen zur Ausnutzung der Lücke, bevor dies ausdrücklich mit uns abgestimmt wurde.

Solange Sie sich an diese Rahmenbedingungen halten, sichern wir Ihnen Folgendes zu:

  • Wir werden Sie im Zusammenhang mit der gemeldeten Sicherheitslücke bei Einhaltung dieser Policy nicht rechtlich belangen.
  • Wir prüfen Ihre Meldung innerhalb von 5 Arbeitstagen und setzen eine Frist für die Behebung. Wir informieren Sie über die nächsten Schritte.
  • Auf Wunsch können wir Ihren Beitrag in unserer Hall of Fame würden und Sie in der öffentlichen Kommunikation klar als Entdecker:in der Schwachstelle nennen.

Security-Kontakt & PGP-Key

Senden Sie alle relevanten Informationen an security@aunovis.de.

Bitte beachten Sie unsere Coordinated Disclosure Policy

Bitte verschlüsseln Sie diese sensiblen Informationen mit unserem PGP-Key:

				
					-----BEGIN PGP PUBLIC KEY BLOCK-----
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=XeP7
-----END PGP PUBLIC KEY BLOCK-----

Speichern Sie den Inhalt z. B. als `AUNOVIS_pub.asc` und importieren Sie die Datei in Ihren E-Mail-Client.
Mozilla Thunderbird unterstützt die Verschlüsselung per PGP nativ. Für Microsoft Outlook gibt es das vom BSI beauftragte Softwarepaket Gpg4win mit dem ‘Kleopatra Manager’ und dem ‘GpgOL Plugin’.

Bug Bounty 

Wenn Sie eine Sicherheitslücke verantwortungsvoll gemeldet und sich an unsere Coordinated Disclosure Policy gehalten haben, können wir nach erfolgreicher Prüfung und abgeschlossener Behebung der Schwachstelle eine monetäre Anerkennung in Form einer Bug Bounty anbieten.

Die Höhe der Bug Bounty richtet sich insbesondere nach der Schwere der Schwachstelle, der Qualität der eingereichten Informationen, der Nachvollziehbarkeit des Proof of Concept sowie dem tatsächlichen Sicherheitsrisiko für unsere Produkte, Systeme oder Kund:innen.

Wichtig: AUNOVIS nutzt derzeit keine externe Bug-Bounty-Plattform. Damit wir eine Auszahlung vornehmen können, benötigen wir eine nach deutschem Recht gültige Rechnung mit allen erforderlichen Angaben. Bei Fragen unterstützen wir Sie gerne.

Die folgenden Beträge sind unverbindliche Richtwerte:

CVSS-Score

Einstufung

Mögliche Bug Bounty

0,1 – 3,9    

Niedrig

bis 150 €

4,0 – 6,9

Mittel

150 € – 500 €

7,0 – 8,9 

Hoch

500 € – 800 €

9,0 – 10,0

Kritisch

800 € – 1.000 €

Die finale Einstufung und Entscheidung über die Auszahlung und Höhe der Bug Bounties liegt bei AUNOVIS. Ein Anspruch auf Auszahlung besteht nicht. Ausschlaggebend sind unter anderem die Relevanz der Schwachstelle, die Einhaltung der Coordinated Disclosure Policy und der konkrete Sicherheitsimpact.

Speichern Sie den Inhalt z. B. als `AUNOVIS_pub.asc` und importieren Sie die Datei in Ihren E-Mail-Client.
Mozilla Thunderbird unterstützt die Verschlüsselung per PGP nativ. Für Microsoft Outlook gibt es das vom BSI beauftragte Softwarepaket Gpg4win mit dem ‘Kleopatra Manager’ und dem ‘GpgOL Plugin’.

Digitale Signaturen

In Projekten, die nach Secure Scrum Level 2 entwickelt werden, in eigenen Produkten und auf Kundenwunsch werden unsere Binärdateien vor der Auslieferung digital signiert. Eine gültige Signatur garantiert, dass die Datei von AUNOVIS stammt und nicht nachträglich verändert wurde.

Die Gültigkeit der Signatur kann einfach überprüft werden:
Über Rechtsklick → Eigenschaften gelangen Sie zum Reiter „Digitale Signaturen“. Ob die Signatur gültig ist, zeigt der Button „Details“.

Alternativ bietet die Microsoft Powershell das signtool an. Mit diesem kann die Signatur programmatisch per

				
					signtool verify /pa <binary>
				
			
überprüft werden.

Technische Zusatzinformation:
Beim Signieren wird aus der Datei ein Hashwert berechnet. Dieser wird mit dem privaten Schlüssel von AUNOVIS verschlüsselt und kann mit dem öffentlichen Schlüssel von AUNOVIS entschlüsselt werden. Bei der Prüfung der Signatur wird der Hashwert der vorliegenden Datei ermittelt und mit dem entschlüsselten Wert verglichen.
Stimmen die Werte überein, wurde die Datei nicht verändert und stammt von AUNOVIS. Andernfalls würde sich ein anderer Hashwert ergeben und der verschlüsselte Hashwert könnte nicht mit dem öffentlichen Schlüssel von AUNOVIS entschlüsselt werden.

Software Bill of Materials (SBOM)

SBOMs sind detaillierte Listen aller in einer Softwareanwendung enthaltenen Komponenten. Sie helfen, Transparenz und Sicherheit zu gewährleisten, indem potenzielle Sicherheitslücken oder Abhängigkeiten schnell identifiziert werden können. 

In Projekten, die nach Secure Scrum Level 2 entwickelt werden, für unsere eigenen Produkte und auf Kundenwunsch liefern wir SBOMs zusammen mit unseren Binärdateien aus, um Ihnen einen vollständigen Überblick über die verwendeten Softwarekomponenten zu geben. Dazu verwenden wir das von Menschen und Maschinen lesbare CycloneDX JSON Format.

Wird eine Sicherheitslücke in einer von uns verwendeten Komponente bekannt, erstellen und veröffentlichen wir zeitnah ein Security Advisory im CSAF-Format.

Advisories (CSAF)

Common Security Advisory Framework (CSAF) Dokumente stellen die Ergebnisse unserer Schwachstellenanalysen in einem für Menschen und Maschinen lesbaren Format dar.
Sie können und sollten von allen Anwendern unserer Software regelmäßig automatisiert abgefragt werden.

Das Herunterladen der Advisories funktioniert über das BOMnipotent Client Command Line Tool

Der AUNOVIS BOMnipotent Server ist hinter https://bomnipotent.aunovis.de gehostet. Um darauf zuzugreifen, müssen Sie ein Benutzerkonto erstellen. Die Schritte dazu werden hier beschrieben. Wir unterstützen Sie gerne dabei.

Sobald Sie authentifiziert sind, können Sie die Advisories mit

				
					bomnipotent_client csaf list

auflisten, beziehungsweise mit

				
					bomnipotent_client csaf download <ZIELORDNER>

herunterladen.

Advisories werden nach dem Traffic Light Protocol (TLP) klassifiziert. Die Standardklassifizierung bei AUNOVIS ist TLP:AMBER, was die Weiterleitung an genau die Entitäten erlaubt, die sie zur Schadensminderung benötigen.

Um auf diese Advisories zugreifen zu können, ist eine Authentifizierung mit Zertifikat und Schlüssel erforderlich. Diese werden beim Kauf eines Produktes oder auf Anfrage zur Verfügung gestellt.

Ohne Zertifikat und Schlüssel können Sie ein CSAF-Beispieldokument herunterladen, das als TLP:WHITE klassifiziert ist:

				
					./csaf_downloader csaf.aunovis.de

Hall of Fame

Name

Referenz

Sicherheitslücke

Datum

Jack Jerry

Fehlender DMARC Eintrag für die aunovis.de Domain

4. Nov 2024

Wir danken allen, die uns Sicherheitslücken gemeldet haben, auch denen, die anonym bleiben möchten!