Dell beteiligt sich aktiv an verschiedenen Communityinitiativen wie dem Forum of Incident Response and Response Teams (FIRST)(auf Englisch) und dem Software Assurance Forum for Excellence in Code (SAFECode)(auf Englisch). Unsere Prozesse und Verfahren entsprechen dem FIRST PSIRT Services Framework(auf Englisch) sowie anderen Standards wie ISO/IEC 29147:2018(auf Englisch) und ISO/IEC 30111:2019(auf Englisch).
Wir bei Dell schätzen unsere Branchenpartner und SicherheitsexpertInnen sowie alle Beiträge zu unseren Sicherheitsinitiativen und fördern eine verantwortungsvolle und koordinierte Offenlegung, da die Sicherheit unserer KundInnen oberstes Gebot ist. Unser Ziel ist es, sicherzustellen, dass zum Zeitpunkt der Offenlegung von Dell spezifischen Sicherheitslücken Abhilfemaßnahmen und/oder Minderungsstrategien verfügbar sind, und mit Drittanbietern zusammenzuarbeiten, wenn die Korrektur deren Mitarbeit erfordert.
Gemäß dieser Richtlinie werden alle Informationen über neue Sicherheitslücken als vertraulich betrachtet und nur dann zwischen Dell und der meldenden Partei weitergegeben, wenn die Informationen nicht bereits öffentlich bekannt sind, bis eine Abhilfemaßnahme verfügbar ist und die Offenlegungsaktivitäten koordiniert werden.
Nach der Untersuchung und Validierung einer gemeldeten Sicherheitslücke versuchen wir, geeignete Abhilfemaßnahmen für die von Dell aktiv unterstützten Produkte zu entwickeln und zu qualifizieren. Die Abhilfemaßnahme kann in folgender Form erfolgen:
Dell bemüht sich, die Abhilfemaßnahme oder Korrekturmaßnahme in kürzester kommerziell angemessener Zeit bereitzustellen. Die Reaktionszeiten hängen von vielen Faktoren ab, wie z. B.:
Dell verwendet den Standard Common Vulnerability Scoring System(auf Englisch), Version 3.1 (CVSS v3.1), um die Merkmale von Sicherheitslücken in Dell Produkten zu kommunizieren. Der Standard wird von FIRST aufrechterhalten.
Die CVSS-Bewertung stellt ein numerisches Mittel zur Quantifizierung des Schweregrads einer Sicherheitslücke dar und berücksichtigt mehrere Faktoren, einschließlich des Aufwands, der zur Ausnutzung einer Sicherheitslücke erforderlich ist, sowie der potenziellen Auswirkungen, falls die Sicherheitslücke ausgenutzt wird. Dell fasst die bewerteten Auswirkungen einer Sicherheitslücke in Form einer numerischen Punktzahl, eines Vector Strings und einer qualitativen Darstellung des Schweregrads (d. h. kritisch, hoch, mittel, niedrig) gemäß der unten aufgeführten Skala zusammen:
Schweregrad | Bewertung nach CVSS v3.1 |
Kritisch | 9,0–10 |
Hoch | 7,0–8,9 |
Mittel | 4,0–6,9 |
Niedrig | 0,1–3,9 |
Dell empfiehlt allen KundInnen, diese Informationen zur Unterstützung der Berechnung von Umgebungskennzahlen zu verwenden, die für ihre Umgebung relevant sein könnten, um das für ihre Bestände oder die Implementierung von Dell Produkten spezifische Risiko genau zu bewerten.
Beachten Sie, dass es nicht ungewöhnlich ist, dass die Bewertung einer Sicherheitslücke durch Dell, die CVSS-Bewertung und/oder der Vector String von den Angaben anderer Quellen abweichen. Im Falle einer Diskrepanz verwendet Dell die im Dell Sicherheitsratgeber enthaltenen Informationen als maßgebliche Informationsquelle.
Dell veröffentlicht Sicherheitsratgeber, Mitteilungen und Informationsartikel, um KundInnen über Sicherheitslücken zu informieren, die unsere Produkte betreffen.
Sicherheitsratgeber werden veröffentlicht, um Anleitungen oder Anweisungen zu geben, wie KundInnen sich schützen, Sicherheitslücken abmildern und/oder beheben können, nachdem Dell Lösungen analysiert und identifiziert hat.
Sicherheitsratgeber sollen ausreichende Details liefern, um die Auswirkungen von Sicherheitslücken einzuschätzen und Abhilfemaßnahmen für potenziell betroffene Produkte durchzuführen. Es kann jedoch vorkommen, dass nicht alle Details genannt werden. So soll die Wahrscheinlichkeit verringert werden, dass bösartige Akteure diese Informationen zum Nachteil unserer KundInnen ausnutzen könnten.
Dell Sicherheitsratgeber enthalten gegebenenfalls folgende Informationen:
Von Fall zu Fall veröffentlicht Dell eine Sicherheitsmitteilung, um eine öffentlich bekannte Sicherheitslücke zu bestätigen und eine Erklärung oder andere Hinweise dazu zu geben, wann (oder wo) zusätzliche Informationen verfügbar sind.
Dell kann sicherheitsbezogene Informationsartikel veröffentlichen, um Informationen zu sicherheitsrelevanten Themen weiterzugeben, wie z. B.:
Dell Sicherheitsratgeber und -hinweise finden Sie unter www.dell.com/support/security(auf Englisch). Informationsartikel sind unter folgendem Link verfügbar, wenn sie authentifiziert werden.
Wenn Sie eine Sicherheitslücke bei einem Dell Produkt feststellen, bitten wir Sie, dies so bald wie möglich zu melden. Die rechtzeitige Identifizierung und Meldung von Sicherheitslücken ist entscheidend, um potenzielle Risiken für unsere KundInnen eindämmen zu können. SicherheitsexpertInnen müssen Berichte über Sicherheitslücken bei Produkten über die Dell Bugcrowd-Website(auf Englisch) einreichen. KundInnen und PartnerInnen von Enterprise-Produkten und gewerblichen Produkten sollten sich an das zuständige technische Supportteam wenden, um Sicherheitsprobleme zu melden, die bei einem Dell Produkt entdeckt wurden. Das technische Supportteam, das zuständige Produktteam und Dell PSIRT werden zusammenarbeiten, um das berichtete Problem anzugehen und den KundInnen die nächsten Schritte zu nennen.
Branchengruppen, Anbieter und andere NutzerInnen, die keinen Zugang zum technischen Support haben und/oder das Bug-Bounty-Programm nicht in Anspruch nehmen möchten, können Berichte über Sicherheitslücken direkt per E-Mail an Dell PSIRT senden. E-Mail-Nachrichten und -Anhänge sollten bei der Übermittlung vertraulicher Informationen mit PGP und einem Dell PSIRT-PGP-Schlüssel verschlüsselt werden, der hier zum Download verfügbar ist. Dell wird Ihren Bericht über die Offenlegung von Sicherheitslücken bestätigen, sobald die Umstände dies erlauben.
In allen Fällen ist Dell bestrebt, Ihren Bericht zur Offenlegung von Sicherheitslücken innerhalb von drei (3) Werktagen nach Erhalt zu bestätigen und Aktualisierungen zur Korrektur mit einer Häufigkeit von höchstens dreißig (30) Kalendertagen bereitzustellen.
Wenn Sie eine mögliche Sicherheitslücke melden, bitten wir Sie, möglichst viele der folgenden Informationen anzugeben, um uns zu helfen, die Art und den Umfang des gemeldeten Problems besser zu verstehen:
Wenn Sie durch eine Sicherheitslücke Zugriff auf vertrauliche oder nicht öffentliche Informationen erhalten (einschließlich Daten Dritter, personenbezogener Daten oder Informationen, die von Dell als „Interne Verwendung“, „Eingeschränkt“ oder „Stark Eingeschränkt“ gekennzeichnet sind), dürfen Sie nur so weit auf diese Informationen zugreifen, wie es für die Meldung der Sicherheitslücke an Dell erforderlich ist. Abgesehen von der Übermittlung an Dell dürfen Sie solche Informationen nicht speichern, übertragen, verwenden, aufbewahren, offenlegen oder kopieren.
Sie dürfen auch keine Handlungen vornehmen, die die Integrität oder Verfügbarkeit der Systeme von Dell beeinträchtigen, es sei denn, Sie haben die ausdrückliche Genehmigung des Eigentümers. Führen Sie nur das für einen Proof of Concept erforderliche Minimum aus. Wenn Sie während Ihrer Recherchen eine Leistungsverschlechterung feststellen oder versehentlich einen Verstoß oder eine Unterbrechung verursachen (z. B. Zugriff auf Kundendaten oder Servicekonfigurationen), beenden Sie die Verwendung automatisierter Tools und melden Sie den Incident umgehend. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sind, ob Ihre Sicherheitsrecherche mit dieser Richtlinie vereinbar ist, wenden Sie sich an secure@dell.com, bevor Sie fortfahren.
Verwenden Sie die unten aufgeführten Kontakte, um Dell andere Arten von Sicherheitsproblemen zu melden:
Sicherheitsproblem | Kontaktinformationen |
Melden einer Sicherheitslücke oder eines Sicherheitsproblems auf Dell.com oder bei einem anderen Dell Onlineservice, in der Webanwendung oder direkt bei Dell. | Senden Sie einen Bericht an https://bugcrowd.com/dell-com(auf Englisch) mit Schritt-für-Schritt-Anweisungen, um das Problem zu reproduzieren. |
Wenn Sie einen Identitätsdiebstahl vermuten oder eine betrügerische Transaktion im Hinblick auf Dell Financial Services erlebt haben. | Lesen Sie Dell Financial Services Security(auf Englisch). |
Senden datenschutzbezogener Anfragen oder Fragen. | Lesen Sie Dell Privacy(auf Englisch). |
Wir bei Dell streben nach größtmöglicher Transparenz, indem wir Informationen zur Behebung von Sicherheitslücken in unserem Sicherheitsratgeber und der zugehörigen Dokumentation bereitstellen, die Versionshinweise, Wissensdatenbank-Artikel und häufig gestellte Fragen (FAQ) enthalten kann. Dell gibt keine verifizierten Exploit- oder Proof-of-Concept-Codes für identifizierte Sicherheitslücken weiter. Darüber hinaus gibt Dell in Übereinstimmung mit den branchenüblichen Praktiken keine Testergebnisse oder Proof of Concepts aus internen Sicherheitstests oder andere Arten von vertraulichen Informationen an externe Stellen weiter.
Die Ansprüche von Dell KundInnen in Bezug auf Services, Support und Wartung – dies bezieht sich auch auf die Sicherheitslücken in jedem Dell Softwareprodukt – werden einzig durch die geltende Vereinbarung zwischen Dell und den jeweiligen KundInnen geregelt. Die Aussagen auf dieser Webseite modifizieren, erweitern oder ändern in keiner Weise die Kundenrechte und schaffen keine zusätzlichen Gewährleistungen.
Alle Aspekte dieser Richtlinie zur Reaktion auf Sicherheitslücken können ohne Vorankündigung geändert werden. Die Reaktion auf ein bestimmtes Problem oder eine bestimmte Problemkategorie wird nicht garantiert. Die Verwendung der Informationen in diesem Dokument oder der mit diesem Dokument verknüpften Materialien erfolgt auf Ihr eigenes Risiko.