Intelligente Gebäudesteuerung durch hochwertige DDC-Controller, Sensoren und Automatisierungstechnik

X
  • Keine Produkte in der Liste

PSIRT - Cybersecurity bei SE-Elektronic

Mit unserem PSIRT reagieren wir schnell, strukturiert und transparent auf Sicherhheitsrisiken.

Cybersecurity bei SE-Elektronic - PSIRT

Im Bereich der Gebäudeautomation gewinnt Cybersecurity zunehmend an Bedeutung. SE‑Elektronic unterstützt Sie dabei mit einem strukturierten Ansatz im Umgang mit Sicherheitsvorfällen über unser Product Security Incident Response Team (PSIRT).

Unser Ziel ist es, die Sicherheit unserer Produkte und Systeme kontinuierlich zu gewährleisten und potenzielle Risiken frühzeitig zu minimieren. Sobald neue Schwachstellen oder Bedrohungen bekannt werden, stellen wir Ihnen zeitnah fundierte Handlungsempfehlungen, Sicherheitsupdates und Patches zur Verfügung, damit Sie schnell und gezielt reagieren können.

Trotz umfassender Prüfprozesse lassen sich nicht alle Sicherheitslücken im Vorfeld erkennen. Deshalb sind wir auf die Unterstützung unserer Nutzer und Partner angewiesen: Sollten Ihnen Unregelmäßigkeiten, mögliche Schwachstellen oder sicherheitsrelevante Auffälligkeiten bei unseren Produkten oder Services auffallen, bitten wir Sie, uns diese über unsere definierte Meldestelle mitzuteilen.

Gemeinsam tragen wir dazu bei, die Systeme der Gebäudeautomation sicher und zukunftsfähig zu betreiben.


Aktuelle Sicherheitshinweise & Meldungen

Hier finden Sie alle aktuellen Sicherheitshinweise und Meldungen, die von unserem PSIRT veröffentlicht wurden.

PSIRT - Vulnerability Disclosure Policy

Diese Richtlinie dient als Leitfaden für die verantwortungsvolle Identifikation und Meldung von Schwachstellen. Sie zeigt Ihnen, wie Sie potenzielle Sicherheitslücken strukturiert an uns übermitteln und wie wir gemeinsam mit solchen Meldungen umgehen.

Sie erfahren hier, wie Sie uns Schwachstellen melden, welche Informationen wir benötigen und was die nächsten Schritte sind. Unser Ziel ist es, gemeinsam Lösungen zu finden – bevor Informationen öffentlich werden.

Wenn Sie Sicherheitslücken in unseren Produkten entdecken, bitten wir Sie ausdrücklich, uns diese zunächst vertraulich zu melden. Geben Sie uns die Chance, das Problem zu analysieren und zu beheben, bevor eine Veröffentlichung erfolgt.

Für Meldungen zu Produktschwachstellen erreichen Sie uns unter [email protected] – auf Wunsch auch anonym.

Als Zeichen unserer Wertschätzung erkennen wir gemeldete Schwachstellen gerne an und erwähnen Sie auf Wunsch namentlich.

So melden Sie eine Schwachstelle.

PSIRT-Policy

Autorisierte Sicherheitsforschung

Wir begrüßen Hinweise auf mögliche Schwachstellen in unseren Produkten und digitalen Komponenten. Wer Sicherheitsforschung verantwortungsvoll durchführt und sich dabei an die in dieser Richtlinie beschriebenen Grundsätze hält, handelt in unserem Sinne.

Wenn Sie nach bestem Wissen sorgfältig, fair und ohne schädigende Absicht vorgehen, betrachten wir Ihre Untersuchung als autorisierte Sicherheitsforschung. Unser Ziel ist es, gemeldete Schwachstellen gemeinsam mit Ihnen schnell zu verstehen, einzuordnen und geeignete Maßnahmen zur Behebung einzuleiten.

 

Grundsätze für verantwortungsvolle Meldungen

Im Rahmen dieser Richtlinie verstehen wir unter verantwortungsvoller Sicherheitsforschung insbesondere, dass Sie:

  • uns so früh wie möglich informieren, sobald Sie eine tatsächliche oder potenzielle Schwachstelle entdecken,
  • Tests nur in dem Umfang durchführen, die notwendig sind, um eine Schwachstelle nachvollziehbar zu bestätigen,
  • keine Daten verändern, löschen, kopieren oder unbefugt weitergeben,
  • keine Systeme, Dienste oder Nutzer beeinträchtigen,
  • uns ausreichend Zeit geben, die Schwachstelle zu analysieren und eine Lösung bereitzustellen, bevor Informationen veröffentlicht werden,
  • auf automatisierte Massenmeldungen oder Berichte ohne ausreichende technische Grundlage verzichten.

Wir bitten ausdrücklich darum, entdeckte Schwachstellen nicht ohne vorherige Abstimmung öffentlich zu machen. Geben Sie uns die Möglichkeit, das Thema sorgfältig zu prüfen und geeignete Schutzmaßnahmen umzusetzen.

Wie Sie Schwachstellen am besten melden, finden Sie hier

 

Rechtliche Absicherung (Safe Harbor)

SE‑Elektronic begrüßt und unterstützt verantwortungsvolle Sicherheitsforschung. Wir werden keine rechtlichen Schritte gegen Personen einleiten, die potenzielle Schwachstellen in gutem Glauben melden und sich dabei an die in dieser Richtlinie beschriebenen Grundsätze halten.

Voraussetzung hierfür ist, dass Sicherheitsprüfungen verantwortungsvoll durchgeführt werden, keine Beeinträchtigung von Systemen, Daten oder Nutzern erfolgt und die entdeckten Schwachstellen vertraulich an uns gemeldet werden. Eine vorzeitige oder unabgestimmte öffentliche Offenlegung ist zu vermeiden.

Wir bitten darum, uns ausreichend Zeit zur Analyse und Behebung der gemeldeten Schwachstelle einzuräumen. In diesem Rahmen betrachten wir entsprechende Aktivitäten als autorisierte Sicherheitsforschung im Sinne unserer Vulnerability Disclosure Policy.

 

Geltungsbereich

Diese Richtlinie gilt für Produkte, Software, Firmware sowie digitale Komponenten von SE‑Elektronic, insbesondere im Kontext der Gebäudeautomation und Steuerungstechnik.

Sie umfasst alle Systeme und Lösungen, die von SE‑Elektronic entwickelt, betrieben oder verantwortet werden. Ziel ist es, sicherheitsrelevante Hinweise strukturiert zu erfassen und eine effiziente Bearbeitung sowie Bewertung potenzieller Schwachstellen zu ermöglichen.

Zum Geltungsbereich zählen insbesondere:

  • DDC‑Controller und Automationsstationen
  • Firmware, Embedded Software und produktbezogene Anwendungen
  • Digitale Schnittstellen, Kommunikationsprotokolle und Netzwerkanbindungen (z. B. BACnet-basierte Systeme)
  • Produktnahe Tools, Konfigurationssoftware sowie unterstützende Komponenten
  • Funktionen und Dienste, die im direkten Zusammenhang mit unseren Produkten stehen

Nicht in den Geltungsbereich dieser Richtlinie fallen Systeme, Anwendungen oder Dienste Dritter, die nicht von SE‑Elektronic entwickelt, betrieben oder verantwortet werden. Dazu gehören insbesondere externe Plattformen, Infrastrukturkomponenten oder Integrationen außerhalb unseres Einflussbereichs.

Falls Sie unsicher sind, ob Ihre Meldung unter diese Richtlinie fällt, können Sie uns dennoch jederzeit kontaktieren. Wir prüfen Ihre Anfrage sorgfältig und leiten sie bei Bedarf an die zuständige Stelle weiter.

Was Sie von uns erwarten können

Wenn Sie uns eine Schwachstelle melden und Kontaktdaten angeben, gehen wir transparent, strukturiert und verantwortungsvoll mit Ihrer Meldung um.

Sie erhalten unmittelbar eine Empfangsbestätigung, sodass Sie wissen, dass Ihre Meldung bei uns eingegangen ist. Eine erste fachliche Einschätzung erfolgt unmittelbar nach erster Prüfung. Anschließend prüfen wir die gemeldete Schwachstelle gemeinsam mit den zuständigen Fachbereichen, Entwicklungsteams und – wenn erforderlich – Partnern.

Die weitere Offenlegung erfolgt koordiniert und abhängig davon, wann eine geeignete Lösung, ein Update oder entsprechende Schutzmaßnahmen bereitgestellt werden können. Unser Ziel ist es, Sicherheitslücken verantwortungsvoll zu beheben, bevor Informationen öffentlich gemacht werden.

Bitte beachten Sie: Eine transparente Rückmeldung zum Status Ihrer Meldung ist nur möglich, wenn Sie uns entsprechende Kontaktdaten in Ihrer E-Mail hinterlassen.

Die aktuellen Meldungen finden Sie hier.

 

Veröffentlichung und Anerkennung

Wenn sich eine gemeldete Schwachstelle bestätigt, koordinieren wir die weiteren Schritte sorgfältig. Eine Veröffentlichung erfolgt in der Regel erst, wenn eine geeignete Lösung, ein Update oder eine anderweitige Schutzmaßnahme verfügbar ist oder mit den beteiligten Stellen abgestimmt wurde.

Je nach Art und Relevanz der Schwachstelle kann die Veröffentlichung beispielsweise in Form eines Security Advisory erfolgen. Falls erforderlich, stimmen wir uns mit geeigneten Koordinationsstellen oder Partnern ab.

Wir schätzen den Beitrag verantwortungsvoller Sicherheitsforscherinnen und Sicherheitsforscher. Auf Wunsch prüfen wir gerne eine namentliche Erwähnung oder Würdigung im Rahmen der Veröffentlichung.

So melden Sie potenzielle Schwachstellen

Jeder kann potenzielle Sicherheitslücken an das PSIRT von SE‑Elektronic melden – unabhängig davon, ob Sie Kunde, Partner oder externer Sicherheitsexperte sind.

Wir ermutigen ausdrücklich dazu, entdeckte Schwachstellen verantwortungsvoll mit uns zu teilen. Für die Zusammenarbeit ist keine Vertraulichkeitsvereinbarung (NDA) oder ein anderer Vertrag erforderlich. Unser Anspruch ist es, alle Meldungen professionell, strukturiert und partnerschaftlich zu bearbeiten.

Wir schätzen insbesondere die Zusammenarbeit mit der Security‑Community – darunter Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner und öffentliche Einrichtungen.

Da unsere Lösungen auch in kritischen Infrastrukturen eingesetzt werden, bitten wir Sie, die Veröffentlichung von Sicherheitslücken mit uns abzustimmen. So stellen wir sicher, dass zunächst geeignete Maßnahmen zur Behebung oder Risikominimierung umgesetzt werden können.

Alle E-Mails hierzu bitte an [email protected]

PGP Public Key
Den PGP Schlüssel finden Sie hier: Public PGP Key herunterladen.
PGP Fingerprint: 11F558390E6C13F4D951FA682D0ED4FB560A3277

PSIRT-Meldungen (1)

Welche Informationen uns helfen

Welche Informationen sollten enthalten sein?

Damit wir Ihre Meldung schnell und effizient bearbeiten können, geben Sie – soweit möglich – bitte folgende Informationen an:

Betroffenes Produkt
  • Produktname
  • Version / Firmware / Build
  • Einsatzumgebung
Beschreibung der Schwachstelle
  • Detaillierte Beschreibung des Problems
  • Mögliche Auswirkungen (z.B. unberechtigter Zugriff, Datenverlust, Systemausfall)
Schritte zur Reproduktion
  • Schritt-für-Schritt-Anleitung zur Nachstellung
  • Voraussetzungen (z.B. Benutzerrechte, Konfiguration)
  • Erwartetes Verhalten vs. Tatsächliches Verhalten
Nachweis und technische Details (falls vorhanden)
  • Screenshots, Videos oder Logs
Angaben zur Nutzung und Offenlegung

Bitte teilen Sie uns – soweit bekannt – auch mit:

  • Wurde bzw. wird die Schwachstelle bereits aktiv ausgenutzt?
  • Ist die Schwachstelle bereits öffentlich bekannt gemacht worden? (z.B. Veröffentlichung durch Dritte, Foren, CVE-Eintrag etc.)


Diese Informationen helfen uns bei der Priorisierung und Risikoabschätzung.

Datenschutz / Kontaktangaben

Übermitteln Sie nur personenbezogene Daten, die für die Bearbeitung der Schwachstellenmeldung erforderlich sind.

Bitte beachten Sie, dass Ihre Absender-E-Mail-Adresse technische bedingt automatisch übermittelt wird, wenn Sie uns per E-Mail kontaktierten

Falls Sie eine Rückmeldung wünschen – falls Rückfragen zur Schwachstelle bestehen, oder nach Behebung der Schwachstelle, geben Sie bitte ausdrücklich an:

„Ich bin mit einer Kontaktaufnahme einverstanden“

Hier finden Sie aktuelle Meldungen

Unser PSIRT koordiniert die Bewertung, Untersuchung und Kommunikation von Sicherheitslücken in unseren DDC‑Controllern, Automationslösungen und BACnet‑basierten Systemen. Ziel ist es, Transparenz zu schaffen und Ihnen jederzeit verlässliche und praxisnahe Informationen zur IT- und OT‑Sicherheit bereitzustellen.

Hier veröffentlichen wir Sicherheitshinweise zu bestätigten Schwachstellen, inklusive möglicher Gegenmaßnahmen, Updates und Empfehlungen für den sicheren Betrieb Ihrer Anlagen. Diese sind als Pdf oder CSAF für maschinelles Lesen herunterladbar.

Bei Fragen können Sie sich gerne an [email protected] wenden.

CVE-ID Score Titel Last Update Gemeldet von Download PDF CSAF
CVE-2024-1015 9.8 Multiple vulnerabilities in Firmware V03.07.03 and later Vulnerabilities may allow arbitrary code execution or cause a Denial-of-Service (DoS) system outage 07 Jul 2026 Carlos Antonini von Spanish National Cybersecurity Institue, S.A (INCIBE) PDF CSAF
CVE-2024-1014 6.2 Multiple vulnerabilities in Firmware V03.07.03 and later Vulnerabilities may allow arbitrary code execution or cause a Denial-of-Service (DoS) system outage 07 Jul 2026 Carlos Antonini von Spanish National Cybersecurity Institue, S.A (INCIBE) PDF CSAF