Erklärung zur koordinierten Bekanntgabe von Schwachstellen von Masimo

 

Weltweiter Kundendienst

Erklärung zur koordinierten Bekanntgabe von Schwachstellen von Masimo

Zuletzt aktualisiert: 03. Juni 2024

Erklärung zur koordinierten Bekanntgabe von Schwachstellen

Masimo erkennt den entscheidenden Beitrag von Sicherheitsforschern zum Schutz unserer Produkte und Daten an. Unser Anspruch an die Sicherheit von Produkten und Dienstleistungen ist unverändert hoch, da wir uns der erheblichen Auswirkungen von Schwachstellen bewusst sind. Wir setzen uns für die moralisch vertretbare Offenlegung von Schwachstellen und die Untersuchung aller seriösen Meldungen ein.

Geltungsbereich

Diese Richtlinie gilt für alle von Masimo hergestellten, vertriebenen oder verkauften medizinischen Geräte und Softwareanwendungen.

Bestimmte Aktivitäten und Schwachstellen fallen nicht in den Geltungsbereich dieser Richtlinie. Dazu gehören unter anderem:

  • In Diensten festgestellte Schwachstellen, die in direktem Zusammenhang mit Betriebssystemen stehen
  • In Drittanbieterkomponenten gefundene Schwachstellen
  • Sicherheitstests, durch die Dienste oder Anwendererfahrungen beeinträchtigt, unterbrochen oder negativ beeinflusst werden können (z. B. Denial-of-Service-Angriffe, Brute-Force-Angriffe, Kennwort-Spamming)

Prozess zur Meldung von Schwachstellen

Forscher sollten uns zunächst per E-Mail unter TechService-US@masimo.com kontaktieren, um uns auf eine potenzielle Schwachstelle hinzuweisen.

Wir bitten Sie, bei der ersten Kontaktaufnahme verfügbare Informationen zu folgenden Punkten anzugeben:

  • Eine umfassende Beschreibung der Schwachstelle
  • Spezifikationen zum betreffenden Gerät (Beispiel: Version, Modell- oder Seriennummern)
  • Alle relevanten Informationen zu den Computern, der Netzwerkkonnektivität und den Firmware-Konfigurationen oder den verwendeten Tools, die zum Zeitpunkt der Feststellung der Schwachstelle verwendet wurden
  • Eine Beschreibung des potenziellen Exploit-Codes, ein Wirksamkeitsnachweis und die Aufnahm einer Probepackung, sofern zutreffend
  • Zeitpunkt und Ort der Feststellung der Schwachstelle
  • Bekannte oder mutmaßliche Bedrohungen im Zusammenhang mit der Schwachstelle (einschließlich bekannter oder mutmaßlicher Angriffe)
  • Angaben dazu, ob die Schwachstelle anderen Parteien bekannt ist oder Regierungs-/Aufsichtsbehörden gemeldet wurde
    • Wenn Sie Schwachstelleninformationen an Schwachstellenkoordinatoren wie den CISA oder andere Parteien weitergegeben haben, teilen Sie uns dies bitte mit und geben Sie deren Verfolgungsnummer an, sofern eine solche vergeben wurde.
  • Bevorzugte Kommunikationsmethode und Kontaktinformationen für die weitere Kommunikation mit Ihnen, falls zutreffend
    • Wir empfehlen die Kommunikation auf Englisch, um Klarheit und Effizienz zu gewährleisten.

Nach Erhalt der ersten Meldung gibt unser Team genaue Anweisungen, wie Sie die detaillierte Schwachstellenmeldung sicher einreichen können. Falls erforderlich, fordern wir weitere Informationen von der meldenden Person an.

Die meldende Person ist verpflichtet, die Verschlüsselung für die gesamte E-Mail-Kommunikation zu aktivieren, um die Sicherheit der ausgetauschten Informationen zu gewährleisten.

Fügen Sie keinesfalls sensible vertrauliche Informationen, wie etwa Patientendaten, in Screenshots oder andere Informationen ein, die Sie uns zur Verfügung stellen.

Einreichungsanforderungen

Sie werden um eine detaillierte Bekanntgabe der Schwachstellen unter Berücksichtigung der folgenden Punkte gebeten, um einen konstruktiven und effizienten Lösungsprozess zu ermöglichen:

  • Beschränken Sie die Maßnahmen auf die Überprüfung der Existenz einer Schwachstelle, ohne sie für einen anderen Zweck als den Nachweis zu nutzen. Vermeiden Sie dabei auch die Extraktion von Daten oder die Einführung neuer Schwachstellen.
  • Verzichten Sie vor dem Ablauf einer mit uns vereinbarten koordinierten Bekanntgabefrist auf die öffentliche Bekanntgabe von Schwachstellen.
  • Vermeiden Sie Forschung an Systemen, bei denen das Risiko besteht, dass Patienten geschädigt werden, insbesondere Tests an Produkten oder Infrastruktur in klinischen oder anderen sensiblen Umgebungen, in denen sie für die Patientenversorgung, -diagnose oder -überwachung verwendet werden oder solche Aktivitäten beeinträchtigen könnten.
    • Vermeiden Sie Forschung an anderen Systemen, die derzeit aktiv verwendet werden.
  • Informieren Sie uns umgehend über jegliche Kommunikation mit Regierungs-/Aufsichtsbehörden oder anderen Dritten bezüglich festgestellter Schwachstellen.

Wir fordern Forscher auf, ihre Untersuchungen ethisch einwandfrei durchzuführen, ohne gegen Datenschutzgesetze zu verstoßen oder Produkte von Masimo, Anwenderdaten oder die Anwendererfahrung zu beeinträchtigen.

Unser Engagement für Forschende

Wenn Forschende eine Schwachstellenmeldung einreichen, können sie mit folgenden Reaktionen unseres Teams rechnen:

  • Innerhalb von 5 Kalendertagen nach der Einreichung erhalten Sie eine Bestätigung, dass wir Ihre Meldung erhalten haben. Diese erste Bestätigung soll Ihnen versichern, dass Ihre Feststellungen ernst genommen und von unserem Sicherheitsteam ausgewertet werden.
  • Während des gesamten Prozesses zur Überprüfung und Behebung von Schwachstellen sind wir bestrebt, Sie regelmäßig über den Stand der Überprüfung Ihrer Meldung zu informieren. Unser Ziel ist es, eine transparente und offene Kommunikation zu gewährleisten und sicherzustellen, dass Sie umfassend über unseren Fortschritt bei der Bearbeitung Ihrer Meldung informiert sind.
  • Bei einer bestätigten Schwachstelle werden die entsprechenden Produktteams benachrichtigt.
  • Es wird geprüft, ob ein Patch/Upgrade oder andere empfohlene Maßnahmen zur Behebung der Schwachstelle geeignet sind. Entsprechende Korrekturen werden entwickelt und für die Verteilung vorbereitet.
  • Anschließend werden die Patches, Upgrades oder andere empfohlene Maßnahmen veröffentlicht. Dies kann eine direkte Benachrichtigung der Kunden oder die Veröffentlichung eines Warnhinweises auf unserer Website umfassen.
  • Uns ist bewusst, wir wichtig es ist, Ihre Identität und die in Ihrer Meldung enthaltenen sensiblen Informationen zu schützen. Wir legen keine Informationen offen, die möglicherweise Ihre Identität preisgeben könnten, ohne zuvor Ihre ausdrückliche Zustimmung einzuholen.

Erwartungen nach der Einreichung

Durch die Übermittlung von Informationen im Rahmen dieses Prozesses erklären Sie sich mit Folgendem einverstanden:

  • Masimo ist berechtigt, die Informationen über die Schwachstelle (mit Ausnahme der personenbezogenen Daten des Einreichenden/Forschenden) uneingeschränkt ganz oder teilweise zu nutzen.
  • Durch die Übermittlung solcher Informationen entstehen für Sie keinerlei Rechte und keinerlei Verpflichtungen für Masimo. Dies gilt auch für Zahlungsverpflichtungen.
  • Sie halten keine Eigentums- oder Geheimhaltungsrechte an den übermittelten Informationen.

PLCO-007373/PLMM-12580A-0924 EN-PLMM-12577A