Our website is available in multiple languages. Visiting your country's website provides you with the most relevant information. Would you like to switch?
Choose your country
Subsidiaries
Sales partner
Subsidiaries
Subsidiaries
Sales partner
Sales partner
Language
Language
Language
Language
Prozess
Kurz gesagt, sind wir noch nicht ganz so weit , aber wir investieren viele Ressourcen, um die Konformität mit IEC 62443-4-1 zu erreichen. Die derzeitigen Bemühungen konzentrieren sich auf die Erweiterung und Ergänzung der Prozesse, die bereits zur Gewährleistung der Qualität unserer Produkte eingesetzt werden, damit sie auch die spezifischen Anforderungen der IEC 62443-4-1 unterstützen.
.
Wir konzentrieren uns derzeit darauf, die Anforderungen der folgenden Gesetze, Standards und Normen zu erfüllen:
- CRA (Cyber Resilience Act)
- IEC 62443
- IEC 29147
- IEC 30111
- IEC 27036
- Kalifornisches Passwortgesetz (2020 California Senat Bill SB-327)
Murrelektronik hat Prozesse etabliert, die proaktiv alle Aspekte der von uns wahrgenommenen Aufgaben abdecken. Die Projekte nutzen diese Standardprozesse und passen sie bei Bedarf an. Dies entspricht dem Level 3 („definiert“) nach CMMI.
Ja. Der Produktentwicklungsprozess für alle neuen Produkte, die im Jahr 2024 oder später entwickelt werden, beinhaltet die Berücksichtigung von Cybersicherheitsaspekten durch die Entwicklung entsprechender Bedrohungsmodelle.
Ja. Der Produktentwicklungsprozess für alle neuen Produkte, die im Jahr 2024 oder später entwickelt werden, umfasst die Entwicklung eines Konzepts zur Tiefenverteidigung, um allen in der Bedrohungsmodellierung ermittelten Risiken zu begegnen.
Ja. Die Sicherheitsprüfung und -validierung ist ein Standardbestandteil der umfangreichen Tests und Validierungen, die wir für unsere Produkte durchführen, die im Jahr 2024 oder später entwickelt werden.
Ja. Wir haben Kodierungsstandards festgelegt, die laufend aktualisiert werden, um die neuesten Anforderungen zu berücksichtigen, einschließlich derer, die sich aus Überlegungen zur Cybersicherheit ergeben.
Ja. Bei der Entwicklung neuer Produkte werden die Sicherheitsanforderungen bereits in der Konzeptphase festgelegt.
Wir sind dabei, die Anforderungen der IEC 62443-4-1 (SM-9 und SM-10) und die Anforderungen der IEC 27036 umzusetzen. Wir konzentrieren uns derzeit auf die Definition der Prozesse und die Beschaffung der notwendigen Werkzeuge zur Unterstützung dieser Aufgabe.
Produkte
Es gibt mehrere Schritte, die wir empfehlen. Es ist nicht möglich, eine kurze und prägnante Antwort zu geben, die alle Situationen und alle Produkte abdeckt. Die wichtigsten zu prüfenden Quellen sind:
- das Kapitel zur Cybersicherheit in der Produktdokumentation, das bei neueren Produkten inzwischen zum Standard gehört
- Die allgemeinen Cybersicherheitsrichtlinien, die in den folgenden Dokumenten enthalten sind:
- Allgemeine Cybersicherheitsrichtlinien
Diese Informationen sind im Kapitel zur Cybersicherheit in der entsprechenden Produktdokumentation zu finden, die standardmäßig Bestandteil der Dokumentation neuer Produkte ist, die ab 2024 entwickelt werden.
Diese Informationen sind im Kapitel zur Cybersicherheit in der entsprechenden Produktdokumentation zu finden, die standardmäßig Bestandteil der Dokumentation neuer Produkte ist, die ab 2024 entwickelt werden.
PSIRT
Am direktesten erreichen Sie Murrelektronik PSIRT über diese E-Mail Adresse: psirt@murrelektronik.de
Unser Prozess zur Behandlung von Schwachstellen wird gestartet, wenn eine Schwachstelle gemeldet wird, entweder von einer externen Quelle oder durch die kontinuierliche interne Überwachung, die von internen Akteuren (F&E, Test usw.) oder von externen Testdienstleistern im Auftrag von Murrelektronik durchgeführt wird.
Die Meldung wird zur Kenntnis genommen, und es findet eine erste Bewertung statt. PSIRT ist der Koordinator dieses Prozesses nach außen und nach innen und hält die Kommunikation mit allen Beteiligten aufrecht.
Wenn die Schwachstelle verifiziert und analysiert ist, koordiniert PSIRT mit allen Beteiligten, um Abhilfemaßnahmen zu entwickeln. Anschließend wird ein Sicherheitshinweis über die verschiedenen Kanäle veröffentlicht, die im Abschnitt „Offenlegung“ unten definiert sind.
Eine ausführlichere Beschreibung finden Sie in unserem “Vulnerability Handling Process” Dokument.
Sie können sich für Updates auf CERT@VDE anmelden, wo wir alle unsere Hinweise veröffentlichen, hier.
Die von uns veröffentlichten Hinweise enthalten normalerweise die meisten oder alle der folgenden Elemente:
- Hinweis-ID
- Datum und Uhrzeit der Erstveröffentlichung sowie eine Änderungshistorie, falls der Hinweis aktualisiert wurde.
- Titel: Enthält genügend Informationen (z. B. über das betroffene Produkt), damit der Leser schnell entscheiden kann, ob der Hinweis relevant ist.
- Überblick: eine kurze allgemeine Beschreibung der Sicherheitslücke.
- Betroffene Produkte: einschließlich des/der Produktnamens/Produktnamen, der betroffenen Hardware- und Firmware-Version(en) und ggf. einer sicheren Methode zum Testen auf das Vorhandensein der Schwachstelle.
- Beschreibung: Sie enthält gerade so viele Einzelheiten, dass die Benutzer die Risiken einschätzen können, ohne dass die Ausnutzung der Schwachstelle erleichtert oder wahrscheinlicher gemacht wird. Die Klasse und der CVSS-Score können in die Beschreibung aufgenommen werden.
- Auswirkung: Angabe der möglichen Folgen, wenn die entdeckte Schwachstelle ausgenutzt wird, und der Angriffsszenarien, die sie ermöglicht.
- Schweregrad: Einstufung der Schwachstelle nach dem Common Vulnerability Scoring System (CVSS).
- Abhilfemaßnahmen: Die Schritte, die Benutzer unternehmen können, um die Ausnutzung der Schwachstelle zu verringern oder zu verhindern (Umgehungslösungen), und die Schritte, die zur Beseitigung der Schwachstelle erforderlich sind (z. B. durch Installation von Software-Patches oder Updates).
- Verweise auf verwandte Informationen, wie verwandte Hinweise oder CVE (Common Vulnerabilities and Exposures.
- Gegebenenfalls eine Bestätigung der Personen, die die Schwachstelle gemeldet haben.
- Kontaktinformationen von Murrelektronik PSIRT
- Bedingungen für die Nutzung: Bedingungen für das Kopieren und die Weiterverbreitung.
Die von Murrelektronik veröffentlichten Sicherheitshinweise können über mehrere Kanäle abgerufen werden:
- Website: Auf unserer PSIRT-Webseite finden Sie eine Liste mit den aktuellsten und aktivsten Hinweisen. Sie enthält auch einen Link zum Archiv aller veröffentlichten Hinweise
- CERT@VDE: Wir stellen unsere Hinweise in die Datenbank des CERT@VDE ein.
Ja. Wir stellen unsere Sicherheitshinweise im CSAF-Format zur Verfügung. Beim Herunterladen der Sicherheitshinweise haben Sie die Wahl zwischen einer von Menschen lesbaren PDF-Datei und einer maschinenlesbaren CSAF-Datei.
Die neueste Firmware- oder Software-Version des von Ihnen verwendeten Produkts finden Sie immer unter der Rubrik „Download“ dieses Produkts in unserem Online Shop.
Die veröffentlichten Sicherheitshinweise enthalten auch alle Links und Anweisungen, die Sie benötigen, um sicherheitsrelevante Updates oder Patches zu installieren.
