Sicherheitsvorfall melden

Unsere Produkte, Services, Geschäftsanwendungen und die Sicherheit unserer Infrastruktur liegen uns sehr am Herzen. Da wir selbst Sicherheitsexperten sind, wissen wir, wie wichtig die Untersuchung und Behebung von Sicherheitsproblemen sind. Uns ist außerdem bewusst, dass trotz unserer besten Bemühungen, Sicherheitsschwachstellen aus unseren eigenen Produkten und Dienstleistungen und den von uns genutzten Infrastrukturen und Anwendungen zu beseitigen, immer neue Bedrohungen, Schwachstellen und Verbesserungsmöglichkeiten auf uns zukommen werden. Aus diesem Grund setzt FireEye sein Vertrauen bei der Aufdeckung neuer Sicherheitsschwachstellen in die Cybersicherheits-Community und in die Zusammenarbeit mit externen Sicherheitsexperten, um erkannte Probleme zu beheben und damit in Verbindung stehende und/oder zugrunde liegende systemische Probleme zu beseitigen und so unsere Sicherheitslösungen und unsere eigene Infrastruktur zu verbessern.

Zum Schutz unserer Kunden laden wir alle Mitglieder der Cybersicherheits-Community ein, mit uns zusammenzuarbeiten und Sicherheitsvorfälle zu melden. Als Dank zollen wir gern Anerkennung für ihre Arbeit. Wir möchten mit uns in Dialog stehende Journalisten bitten, sich an unsere Richtlinie zur verantwortungsvollen Offenlegung und an den darin festgelegten Prozess zu halten. Darüber hinaus bitten wir darum, FireEye vor einer öffentlichen Bekanntgabe die Möglichkeit zur Evaluierung, zur Stellungnahme und ggf. zur Behebung nachweisbarer Sicherheitsschwachstellen zu geben.

Sicherheitsteam von FireEye kontaktieren

Bitte melden Sie mutmaßliche Schwachstellen für Produkte, Services, Websites und andere Infrastrukturkomponenten von FireEye oder andere Missstände in Bezug auf FireEye per E-Mail an: security@fireeye.com.

Sichere Kommunikation

Bitte verwenden Sie bei Bedarf die PGP- bzw. S/MIME-Schlüssel des FireEye-Sicherheitsteams.

Richtlinie zur verantwortungsvollen Offenlegung von FireEye

FireEye fordert Sicherheitsexperten auf, alle Schwachstellen zu melden, die sie auf den Websites bzw. in den Produkten, Services und der Infrastruktur von FireEye finden. Die FireEye-Richtlinie für die verantwortungsvolle Offenlegung unterteilt den Prozess in fünf Phasen: 1) Erstevaluierung 2) Entwicklung eines Fixes/Behebung der Schwachstelle 3) Bereitstellung des Fixes bzw. einer neuen Softwareversion für unsere Kunden 4) 90-Tage-Frist für die Installation des Fixes/der neuen Version durch die Kunden 5) Offenlegung und Benachrichtigungen.

Wenn ein Sicherheitsexperte eine Schwachstelle meldet, wird er per E-Mail benachrichtigt, während FireEye die Erstevaluierung durchführt und das Problem analysiert (Phase 1). Diese Phase ist in der Regel innerhalb einer Woche abgeschlossen und variiert je nach betroffenem Produkt und Service. Wenn die Evaluierung ergibt, dass es sich tatsächlich um eine Schwachstelle handelt und dass Handlungsbedarf besteht, bestätigt FireEye dies und leitet die Entwicklung eines Fixes bzw. die Behebung der Schwachstelle ein (Phase 2). In dieser Phase weist FireEye der Schwachstelle zu Referenzzwecken eine Bezeichnung zu. Dies kann ein Name oder eine interne oder CVE-Nummer (Common Vulnerability and Exposures) sein. Wenn es sich um eine bereits extern gemeldete oder öffentlich bekannte Sicherheitsschwachstelle handelt, verwendet FireEye die bereits vorhandene CVE. Die Dauer bis zur Bereitstellung eines Fixes wird durch eine Reihe von Faktoren beeinflusst, unter anderem die Komplexität der Schwachstelle, den Schweregrad und eventuelle Abhängigkeiten von Drittanbietern. Aber in der Regel veröffentlicht FireEye Fixes innerhalb von 30 bis 90 Tagen. Wenn ein Fix verfügbar ist, informiert FireEye seine Kunden, damit diese den Fix herunterladen und auf ihre Systeme und Ressourcen anwenden können. (Dies gilt nur für Ressourcen, bei denen der Fix vom Kunden implementiert werden muss.) (Phase 3). Gleichzeitig werden FireEye-Kunden auch über eventuell empfohlene Abwehrmaßnahmen oder Schritte zur Schadensbehebung in Kenntnis gesetzt. Zu diesem Zeitpunkt veröffentlicht FireEye noch keine Informationen über die vom Sicherheitsexperten gemeldete Schwachstelle. Dies geschieht erst 90 Tage nach der Bereitstellung des bzw. der Fixes für alle betroffenen FireEye-Produkte und seiner/ihrer Implementierung auf den betroffenen Websites, in den Services oder in der Infrastruktur von FireEye (Phase 4). Wir bitten auch Sicherheitsexperten, diesen Zeitraum von 90 Tagen abzuwarten, um unseren Kunden genügend Zeit zu geben, den Fix einzuspielen und ihre Systeme zu aktualisieren. Bei Produkten mit kundenseitigen Telemetriefunktionen überwacht FireEye den Status der Kundenaktualisierungen und versucht mit Unterstützung des Kundensupportteams sicherzustellen, dass unsere Kunden über die Offenlegungszeiträume informiert sind und ihre Systeme vor dem Ablauf der 90-Tage-Frist aktualisieren. Spätestens mit Ablauf der 90-tägigen Frist veröffentlicht FireEye eine Empfehlung und eine Offenlegungsmeldung in Form von Versions- oder Sicherheitshinweisen mit zusätzlichen Informationen über die Sicherheitsschwachstelle. Hierbei wird der Beitrag des Sicherheitsexperten gewürdigt, der die Schwachstelle gefunden hat (Phase 5), sofern unsere Richtlinie zur verantwortungsvollen Offenlegung befolgt wurde. Wir bitten Sicherheitsexperten, die nicht öffentlich genannt werden möchten, uns dies am Anfang der Kommunikation mitzuteilen.

FireEye hält den Kontakt mit dem Sicherheitsexperten in allen Phasen dieses Offenlegungsprozesses aufrecht. Zum Schutz seiner Kunden bestätigt, erörtert oder meldet FireEye Sicherheitsschwachstellen erst, nachdem ein Fix für alle betroffenen Produkte veröffentlicht bzw. auf den betroffenen Websites, in den Services oder in der Infrastruktur implementiert wurde. Ebenso ersucht FireEye Sicherheitsexperten, während des Zeitraums, in dem FireEye gemäß dieser Richtlinie an der Evaluierung, Behebung und Bereitstellung von Fixes für Kunden arbeitet, keine Informationen über die festgestellte Schwachstelle öffentlich oder anderweitig preiszugeben. FireEye hält dies für die am besten dazu geeignete Vorgehensweise, unsere Kunden und Partner bei der Verwendung unserer Produkte und Services zum Schutz Ihrer Unternehmen zu unterstützen, und gleichzeitig alle Nutzer zu schützen, die unsere Infrastruktur und Anwendungen für die Ausführung von FireEye-Lösungen nutzen.

Während des Kommunikations- und Offenlegungsprozesses gibt FireEye jeweils einen Zeitpunkt für die nächste Kontaktaufnahme und falls erforderlich einen geschätzten Zeitrahmen an. Sicherheitsexperten können sich jederzeit nach dem aktuellen Stand des Prozesses erkundigen.

Vielen Dank!

Wir möchten uns im Voraus für Ihre Kooperation und die Einhaltung dieser Richtlinie bedanken. Wir danken auch für Ihre Unterstützung beim Verbessern der Sicherheit unserer Produkte und beim fortlaufenden Schutz unserer Kunden.