Warum sollten Sie Sicherheitslücken melden?

Wir laden alle herzlich ein — ganz gleich, ob Sie Kunde von METTLER TOLEDO sind oder nicht — uns Ihr wertvolles Feedback zu allen MT Produkten und Lösungen mitzuteilen! Ihre Hinweise sind für uns von entscheidender Bedeutung. Wir versichern Ihnen, dass alle Daten, insbesondere personenbezogene Informationen, mit höchster Vertraulichkeit und ohne die Notwendigkeit einer Geheimhaltungsvereinbarung behandelt werden.

Indem Sie Schwachstellen melden, leisten Sie einen wichtigen Beitrag dazu, dass wir unsere Produkte verbessern können. So können wir diese Probleme zeitnah beheben und unsere Kunden über Gegenmaßnahmen, Workarounds und Korrekturen informieren. Dieser kooperative Ansatz ermöglicht es uns, die Robustheit und Zuverlässigkeit von MT Produkten und Lösungen zu stärken und unseren Kunden letztlich zu helfen, Sicherheitsrisiken wirksam zu managen.

Wie können Sie Sicherheitslücken melden?

Wir empfehlen allen ausdrücklich, etwaige sicherheitsrelevante Schwachstellen im Zusammenhang mit MT Produkten oder Lösungen zu melden. Umfassende, präzise und detaillierte Informationen helfen unserem Product Security Incident Response Team (PSIRT), effektiver und effizienter zu reagieren.

Zu Ihrer Bequemlichkeit bietet MT zwei einfache Möglichkeiten, mit uns in Kontakt zu treten. 

1. E-Mail an psirt@mt.com

2. Indirekt über unser Partner-CERT@VDE: https://cert.vde.com/helper/reportvuln/

Beide oben genannten Kommunikationskanäle werden montags bis freitags von 8:00 bis 17:00 Uhr CET überwacht. 

Bevorzugte Sprache ist Englisch.

Wer erhält den Bericht?

METTLER TOLEDO stellt sicher, dass der Bericht den zuständigen Fachleuten zur Verfügung gestellt wird, die in der Lage sind, das beschriebene Problem zu beheben. Der Zugriff auf den Bericht ist ausschließlich auf MT Mitarbeiter beschränkt, sodass keine externen Parteien ihn einsehen können.

Darüber hinaus verpflichtet sich MT, die Kontaktdaten der meldenden Person vertraulich zu behandeln, sofern diese nicht ausdrücklich verlangt, dass ihre Informationen offengelegt werden.

Was wird mit dem Bericht geschehen?

Das METTLER TOLEDO PSIRT ist ein zentrales, interdisziplinäres Team, das die Auswirkungen und die Relevanz der gemeldeten Schwachstelle auf MT Produkte und Lösungen sorgfältig prüft.

Wie schnell reagiert MT PSIRT?

In der Regel wird der Eingang einer gemeldeten Schwachstelle innerhalb von zwei Arbeitstagen bestätigt. Vielen Dank für Ihr Engagement zur Verbesserung der Sicherheit von MT Produkten!

Wie wird das Problem behoben?

Bei METTLER TOLEDO umfasst die Behandlung von Sicherheitsproblemen häufig die Abstimmung unserer Entwicklungsprozesse für Sicherheit und Schutz mit industriellen Anforderungen, was den Zeitplan für die Umsetzung von Gegenmaßnahmen oder Fehlerbehebungen beeinflussen kann. Wir danken Ihnen für Ihre Geduld während dieses Prozesses und werden auf Wunsch in engem Austausch mit der meldenden Partei bleiben.

Da viele MT-Komponenten und -Systeme eng in die Infrastruktur unserer Kunden integriert sind, bitten wir darum, dass die meldende Partei jede Offenlegung von Informationen mit uns abstimmt. Dadurch wird sichergestellt, dass Informationen nicht vorzeitig veröffentlicht werden, bevor geeignete Gegenmaßnahmen, Workarounds oder tatsächliche Fehlerbehebungen umgesetzt sind.

Vielen Dank für Ihr Verständnis und Ihre Zusammenarbeit!

Wie wird die Öffentlichkeit über das Ergebnis informiert?

Bei als kritisch oder hoch eingestuften Schwachstellen wird METTLER TOLEDO eine CVE-Nummer (Common Vulnerabilities and Exposures) anfordern, und Sicherheitsmitteilungen werden auf unserer Partnerplattform CERT@VDE veröffentlicht. Bei Schwachstellen mit mittlerem oder niedrigem Risiko werden Informationen in den Release Notes der nächsten Produktversion enthalten sein.

Kunden können sich für einen RSS-/Atom-Feed registrieren oder direkt auf CERT@VDE nach MT-Produkten und -Lösungen suchen.

In extremen Fällen, etwa wenn die funktionale Sicherheit gefährdet ist, werden betroffene Kunden so schnell wie möglich direkt kontaktiert. Wir bewerten jede Schwachstelle sorgfältig und folgen einer Richtlinie der verantwortungsvollen Offenlegung. In seltenen Fällen kann METTLER TOLEDO auch Stellungnahmen zu Schwachstellen abgeben, die keine MT-Produkte und -Lösungen betreffen.

Was ist in dem Advisory?

Eine Mitteilung enthält relevante Fakten und die Historie der Schwachstelle und stellt sicher, dass Kunden und Interessengruppen gut informiert sind.

Bitte beachten Sie eine Richtlinie mit wertvollen Informationen (alle Angaben sind freiwillig)

· Persönliche Kontaktdaten (Name, Organisation, E-Mail, Telefon, Land)

· Beschreibung der Schwachstelle (Auswirkung, Reproduktion, Protokolldateien, pcap, CWE-ID, CVE-ID, sofern verfügbar)

· Name des betroffenen Produkts

· Softwareversion des betroffenen Produkts

· Seriennummer des betroffenen Produkts

· Zusätzliche Kommentare

· Offenlegung (Planen Sie eine Veröffentlichung, oder wurde die Schwachstelle bereits offengelegt?)

· Dürfen oder sollen wir Sie kontaktieren?

Open-Source-Software

Bei METTLER TOLEDO unterstützen wir das Konzept von Open-Source-Software nachdrücklich als wesentlichen Bestandteil der digitalen Transformation.

Unser Ziel ist es, unseren Kunden, Mitarbeitern und der breiteren Gemeinschaft zugute zu kommen und gleichzeitig aktiv zu diesem kollaborativen Ökosystem beizutragen.


Wenn Sie Fragen zur Nutzung von Open Source und zum Lizenzmanagement bei METTLER TOLEDO haben, wenden Sie sich bitte an unseren Open Source Compliance Officer (OSCO) unter osco@mt.com.

Ich möchte...
Benötigen Sie eine Beratung?
Unser Team ist für Sie da, um Ihre Ziele zu erreichen. Sprechen Sie mit einem unserer Experten.