Intelligente Gebäudesteuerung durch hochwertige DDC-Controller, Sensoren und Automatisierungstechnik
Im Bereich der Gebäudeautomation gewinnt Cybersecurity zunehmend an Bedeutung. SE‑Elektronic unterstützt Sie dabei mit einem strukturierten Ansatz im Umgang mit Sicherheitsvorfällen über unser Product Security Incident Response Team (PSIRT).
Unser Ziel ist es, die Sicherheit unserer Produkte und Systeme kontinuierlich zu gewährleisten und potenzielle Risiken frühzeitig zu minimieren. Sobald neue Schwachstellen oder Bedrohungen bekannt werden, stellen wir Ihnen zeitnah fundierte Handlungsempfehlungen, Sicherheitsupdates und Patches zur Verfügung, damit Sie schnell und gezielt reagieren können.
Trotz umfassender Prüfprozesse lassen sich nicht alle Sicherheitslücken im Vorfeld erkennen. Deshalb sind wir auf die Unterstützung unserer Nutzer und Partner angewiesen: Sollten Ihnen Unregelmäßigkeiten, mögliche Schwachstellen oder sicherheitsrelevante Auffälligkeiten bei unseren Produkten oder Services auffallen, bitten wir Sie, uns diese über unsere definierte Meldestelle mitzuteilen.
Gemeinsam tragen wir dazu bei, die Systeme der Gebäudeautomation sicher und zukunftsfähig zu betreiben.
Hier finden Sie alle aktuellen Sicherheitshinweise und Meldungen, die von unserem PSIRT veröffentlicht wurden.
Diese Richtlinie dient als Leitfaden für die verantwortungsvolle Identifikation und Meldung von Schwachstellen. Sie zeigt Ihnen, wie Sie potenzielle Sicherheitslücken strukturiert an uns übermitteln und wie wir gemeinsam mit solchen Meldungen umgehen.
Sie erfahren hier, wie Sie uns Schwachstellen melden, welche Informationen wir benötigen und was die nächsten Schritte sind. Unser Ziel ist es, gemeinsam Lösungen zu finden – bevor Informationen öffentlich werden.
Wenn Sie Sicherheitslücken in unseren Produkten entdecken, bitten wir Sie ausdrücklich, uns diese zunächst vertraulich zu melden. Geben Sie uns die Chance, das Problem zu analysieren und zu beheben, bevor eine Veröffentlichung erfolgt.
Für Meldungen zu Produktschwachstellen erreichen Sie uns unter [email protected] – auf Wunsch auch anonym.
Als Zeichen unserer Wertschätzung erkennen wir gemeldete Schwachstellen gerne an und erwähnen Sie auf Wunsch namentlich.
Wir begrüßen Hinweise auf mögliche Schwachstellen in unseren Produkten und digitalen Komponenten. Wer Sicherheitsforschung verantwortungsvoll durchführt und sich dabei an die in dieser Richtlinie beschriebenen Grundsätze hält, handelt in unserem Sinne.
Wenn Sie nach bestem Wissen sorgfältig, fair und ohne schädigende Absicht vorgehen, betrachten wir Ihre Untersuchung als autorisierte Sicherheitsforschung. Unser Ziel ist es, gemeldete Schwachstellen gemeinsam mit Ihnen schnell zu verstehen, einzuordnen und geeignete Maßnahmen zur Behebung einzuleiten.
Im Rahmen dieser Richtlinie verstehen wir unter verantwortungsvoller Sicherheitsforschung insbesondere, dass Sie:
Wir bitten ausdrücklich darum, entdeckte Schwachstellen nicht ohne vorherige Abstimmung öffentlich zu machen. Geben Sie uns die Möglichkeit, das Thema sorgfältig zu prüfen und geeignete Schutzmaßnahmen umzusetzen.
Wie Sie Schwachstellen am besten melden, finden Sie hier.
SE‑Elektronic begrüßt und unterstützt verantwortungsvolle Sicherheitsforschung. Wir werden keine rechtlichen Schritte gegen Personen einleiten, die potenzielle Schwachstellen in gutem Glauben melden und sich dabei an die in dieser Richtlinie beschriebenen Grundsätze halten.
Voraussetzung hierfür ist, dass Sicherheitsprüfungen verantwortungsvoll durchgeführt werden, keine Beeinträchtigung von Systemen, Daten oder Nutzern erfolgt und die entdeckten Schwachstellen vertraulich an uns gemeldet werden. Eine vorzeitige oder unabgestimmte öffentliche Offenlegung ist zu vermeiden.
Wir bitten darum, uns ausreichend Zeit zur Analyse und Behebung der gemeldeten Schwachstelle einzuräumen. In diesem Rahmen betrachten wir entsprechende Aktivitäten als autorisierte Sicherheitsforschung im Sinne unserer Vulnerability Disclosure Policy.
Diese Richtlinie gilt für Produkte, Software, Firmware sowie digitale Komponenten von SE‑Elektronic, insbesondere im Kontext der Gebäudeautomation und Steuerungstechnik.
Sie umfasst alle Systeme und Lösungen, die von SE‑Elektronic entwickelt, betrieben oder verantwortet werden. Ziel ist es, sicherheitsrelevante Hinweise strukturiert zu erfassen und eine effiziente Bearbeitung sowie Bewertung potenzieller Schwachstellen zu ermöglichen.
Zum Geltungsbereich zählen insbesondere:
Nicht in den Geltungsbereich dieser Richtlinie fallen Systeme, Anwendungen oder Dienste Dritter, die nicht von SE‑Elektronic entwickelt, betrieben oder verantwortet werden. Dazu gehören insbesondere externe Plattformen, Infrastrukturkomponenten oder Integrationen außerhalb unseres Einflussbereichs.
Falls Sie unsicher sind, ob Ihre Meldung unter diese Richtlinie fällt, können Sie uns dennoch jederzeit kontaktieren. Wir prüfen Ihre Anfrage sorgfältig und leiten sie bei Bedarf an die zuständige Stelle weiter.
Wenn Sie uns eine Schwachstelle melden und Kontaktdaten angeben, gehen wir transparent, strukturiert und verantwortungsvoll mit Ihrer Meldung um.
Sie erhalten unmittelbar eine Empfangsbestätigung, sodass Sie wissen, dass Ihre Meldung bei uns eingegangen ist. Eine erste fachliche Einschätzung erfolgt unmittelbar nach erster Prüfung. Anschließend prüfen wir die gemeldete Schwachstelle gemeinsam mit den zuständigen Fachbereichen, Entwicklungsteams und – wenn erforderlich – Partnern.
Die weitere Offenlegung erfolgt koordiniert und abhängig davon, wann eine geeignete Lösung, ein Update oder entsprechende Schutzmaßnahmen bereitgestellt werden können. Unser Ziel ist es, Sicherheitslücken verantwortungsvoll zu beheben, bevor Informationen öffentlich gemacht werden.
Bitte beachten Sie: Eine transparente Rückmeldung zum Status Ihrer Meldung ist nur möglich, wenn Sie uns entsprechende Kontaktdaten in Ihrer E-Mail hinterlassen.
Die aktuellen Meldungen finden Sie hier.
Wenn sich eine gemeldete Schwachstelle bestätigt, koordinieren wir die weiteren Schritte sorgfältig. Eine Veröffentlichung erfolgt in der Regel erst, wenn eine geeignete Lösung, ein Update oder eine anderweitige Schutzmaßnahme verfügbar ist oder mit den beteiligten Stellen abgestimmt wurde.
Je nach Art und Relevanz der Schwachstelle kann die Veröffentlichung beispielsweise in Form eines Security Advisory erfolgen. Falls erforderlich, stimmen wir uns mit geeigneten Koordinationsstellen oder Partnern ab.
Wir schätzen den Beitrag verantwortungsvoller Sicherheitsforscherinnen und Sicherheitsforscher. Auf Wunsch prüfen wir gerne eine namentliche Erwähnung oder Würdigung im Rahmen der Veröffentlichung.
Jeder kann potenzielle Sicherheitslücken an das PSIRT von SE‑Elektronic melden – unabhängig davon, ob Sie Kunde, Partner oder externer Sicherheitsexperte sind.
Wir ermutigen ausdrücklich dazu, entdeckte Schwachstellen verantwortungsvoll mit uns zu teilen. Für die Zusammenarbeit ist keine Vertraulichkeitsvereinbarung (NDA) oder ein anderer Vertrag erforderlich. Unser Anspruch ist es, alle Meldungen professionell, strukturiert und partnerschaftlich zu bearbeiten.
Wir schätzen insbesondere die Zusammenarbeit mit der Security‑Community – darunter Sicherheitsforscher, Hochschulen, CERTs, Geschäftspartner und öffentliche Einrichtungen.
Da unsere Lösungen auch in kritischen Infrastrukturen eingesetzt werden, bitten wir Sie, die Veröffentlichung von Sicherheitslücken mit uns abzustimmen. So stellen wir sicher, dass zunächst geeignete Maßnahmen zur Behebung oder Risikominimierung umgesetzt werden können.
Alle E-Mails hierzu bitte an [email protected]
PGP Public Key
Den PGP Schlüssel finden Sie hier:
Public PGP Key herunterladen.
PGP Fingerprint: 11F558390E6C13F4D951FA682D0ED4FB560A3277
Welche Informationen sollten enthalten sein?
Damit wir Ihre Meldung schnell und effizient bearbeiten können, geben Sie – soweit möglich – bitte folgende Informationen an:
Bitte teilen Sie uns – soweit bekannt – auch mit:
Diese Informationen helfen uns bei der Priorisierung und Risikoabschätzung.
Übermitteln Sie nur personenbezogene Daten, die für die Bearbeitung der Schwachstellenmeldung erforderlich sind.
Bitte beachten Sie, dass Ihre Absender-E-Mail-Adresse technische bedingt automatisch übermittelt wird, wenn Sie uns per E-Mail kontaktierten
Falls Sie eine Rückmeldung wünschen – falls Rückfragen zur Schwachstelle bestehen, oder nach Behebung der Schwachstelle, geben Sie bitte ausdrücklich an:
„Ich bin mit einer Kontaktaufnahme einverstanden“
Unser PSIRT koordiniert die Bewertung, Untersuchung und Kommunikation von Sicherheitslücken in unseren DDC‑Controllern, Automationslösungen und BACnet‑basierten Systemen. Ziel ist es, Transparenz zu schaffen und Ihnen jederzeit verlässliche und praxisnahe Informationen zur IT- und OT‑Sicherheit bereitzustellen.
Hier veröffentlichen wir Sicherheitshinweise zu bestätigten Schwachstellen, inklusive möglicher Gegenmaßnahmen, Updates und Empfehlungen für den sicheren Betrieb Ihrer Anlagen. Diese sind als Pdf oder CSAF für maschinelles Lesen herunterladbar.
Bei Fragen können Sie sich gerne an [email protected] wenden.
| CVE-ID | Score | Titel | Last Update | Gemeldet von | Download PDF | CSAF |
|---|---|---|---|---|---|---|
| CVE-2024-1015 | 9.8 | Multiple vulnerabilities in Firmware V03.07.03 and later Vulnerabilities may allow arbitrary code execution or cause a Denial-of-Service (DoS) system outage | 07 Jul 2026 | Carlos Antonini von Spanish National Cybersecurity Institue, S.A (INCIBE) | CSAF | |
| CVE-2024-1014 | 6.2 | Multiple vulnerabilities in Firmware V03.07.03 and later Vulnerabilities may allow arbitrary code execution or cause a Denial-of-Service (DoS) system outage | 07 Jul 2026 | Carlos Antonini von Spanish National Cybersecurity Institue, S.A (INCIBE) | CSAF |