![[Translate to A - German:] Maritime Intercom](https://www.commend.com/cMedia/temp/4/d/csm_img-maritime-intercom_fc1b680a74.jpg)
![[Translate to A - German:] Intercom Interfaces](https://www.commend.com/cMedia/temp/e/6/csm_intercom-interfaces_5b4f10cec2.png)
![[Translate to A - German:]](https://www.commend.com/cMedia/temp/4/8/csm_menu-usub_752e8b483f.png)
![[Translate to A - German:] Vulnerability Disclosure Policy](https://www.commend.com/cMedia/user_upload/blue_cyber-security-1.svg "[Translate to A - German:] Vulnerability Disclosure Policy")
Richtlinien zur Offenlegung von Sicherheitsrisiken
Cyber SicherheitCommend International nimmt die Sicherheit seiner Produkte und Dienstleistungen sehr ernst, und wir schätzen den Beitrag der Security Community sehr. Der koordinierte Prozess der Offenlegung von Sicherheitsschwachstellen hilft uns, die Sicherheit und den Schutz der Privatsphäre unserer Kunden und Nutzer zu gewährleisten.
Dieses Dokument beschreibt unsere Richtlinien für die Annahme von Sicherheitsmeldungen von unseren Kunden, externen Sicherheitsexperten sowie für die Offenlegung von Sicherheitsschwachstellen, die bei Commend International festgestellt wurden. Wir freuen uns über alle Meldungen von Sicherheitsschwachstellen gemäß dieser Richtlinien.
Sicherheit und Datenschutz beruhen auf Vertrauen. Die Menschen werden Lösungen und Dienste nur dann akzeptieren und nutzen, wenn sie vertrauenswürdig sind.
Weitere Informationen
https://clibrary-online.commend.com/en/cyber-security/security-advisories.html
Leitlinien
Commend International setzt voraus, dass alle Teilnehmer:
- die Privatsphäre und die Sicherheit anderer respektieren
- den klar definierten Anwendungsbereich respektieren
- sicherstellen, dass alle Tests legal und genehmigt sind
- sich ausreichend bemühen, das Sicherheitsteam von Commend International zu kontaktieren
- ausreichende Informationen bereitstellen, damit wir die festgestellte Schwachstelle reproduzieren und überprüfen können
Commend International bietet allen Teilnehmern:
- Kontaktadresse für die Meldung von Schwachstellen
- eine angemessene Reaktionszeit für eingehende Meldungen
- einen klar definierten Geltungsbereich für unser Produktportfolio
- keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche einzuleiten
- eine offene und respektvolle Kommunikation mit allen Teilnehmern
- eine Veröffentlichung von Commend Security Advisories (CSA) und Änderungsprotokollen
- eine Anerkennung im veröffentlichten Commend Security Advisory
Melden von Schwachstellen
Commend International schätzt alle Bemühungen von Sicherheitsexperten, die uns mit detaillierten Informationen über Sicherheitsschwachstellen in unseren Produkten und Dienstleistungen unterstützen. Für uns ist es wichtig, dass der erste Bericht ausreichende Detailinformationen enthält, damit wir in der Lage sind, die Auswirkungen der gemeldeten Schwachstelle vollständig zu verstehen. Unser Sicherheitsteam ist gerne bereit, die gemeldete Schwachstelle innerhalb eines angemessenen Zeitraums zu überprüfen und zu reproduzieren. Daher werden wir innerhalb von 15 Tagen antworten.
Die erste Meldung sollte enthalten:
- Ausreichende Details der Schwachstelle, damit sie verstanden und reproduziert werden kann
- Erwartete Auswirkungen der Schwachstelle
- Proof-of-Concept-Code, Skript, Bildschirmfoto (falls vorhanden)
- Etwaige Referenzen oder weiterführende Informationen (falls vorhanden)
- Empfehlung, wie das Problem entschärft oder gelöst werden könnte (falls vorhanden)
Koordinierter Offenlegungsprozess
Commend International nimmt die Sicherheit seiner Systeme ernst. Ein koordinierter Offenlegungsprozess ist unerlässlich, um unsere Kunden vor jeglichen Bedrohungsakteuren zu schützen. Ein Schwachstellenbericht ist der erste Schritt. Diese Aktion erstellt intern ein Ticket der Sicherheitsschwachstelle, das von unserem Sicherheitsteam überprüft wird. Die erste Überprüfung führt zu einem ersten Entwurf einer Auswirkungsanalyse, die in einen Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) mündet. Die Mitglieder unseres Security Board legen die nächsten Schritte für jede gemeldete Schwachstelle fest. Danach setzen wir uns erneut mit dem Sicherheitsexperten in Verbindung und informieren ihn über den Plan zur Behebung der Schwachstelle, mögliche Gegenmaßnahmen oder Lösungsmöglichkeiten. Obwohl dies für eine einfache Behebung ausreichen kann, gibt es komplexere Schwachstellen, die eine fortlaufende Diskussion zur Klärung zwischen unserem Sicherheitsteam, den beteiligten Entwicklern und dem meldenden Sicherheitsexperten erfordern. Wir freuen uns über eine offene und respektvolle Kommunikation sowie über Empfehlungen, wie das Problem entschärft oder behoben werden kann. Unser Ziel ist es, eine kritische oder hoch eingestufte Schwachstelle in einem angemessenen Zeitraum durch einen Sicherheitspatch zu beheben oder, falls dies nicht möglich ist, im Rahmen der nächsten offiziellen Veröffentlichung. Als letzter Reaktionsschritt wird der Zeitplan für die Veröffentlichung eines Commend Security Advisory (CSA) bekannt gegeben. Daher versuchen wir, eine gemeldete Schwachstelle zu beheben und die Informationen innerhalb von 90 Tagen zu veröffentlichen.
Alle Kunden und Sicherheitsexperten sind eingeladen, sich für unser Commend Security Advisory Program zu registrieren:
https://clibrary-online.commend.com/en/cyber-security/security-advisories.html
Das ist der Inhalt eines veröffentlichten Commend Security Advisory:
- Zusammenfassung der Schwachstellenmeldung
- Betroffene Produkte
- Software Updates
- Abhilfemaßnahmen oder Abschwächung
- Ausnutzungsmöglichkeiten und öffentliche Bekanntmachungen
- Anerkennung
- Quellen
- Kontakt und koordinierte Offenlegung
- Änderungsprotokoll
Abgedecktes Produktportfolio
- Symphony Cloud Services
https://commend.services - Symphony VirtuoSIS Server
- Symphony Geräte
- Commend Studio