360degree arrowdown arrowdownlight arrowleft arrowleftlight arrowright arrowrightlight arrow_top arrowup arrowuplight check circle circlefull close GlobalNetwork data down external facebook facts filter Group_Outline group hamburger head_with_aircraft instagram left linkedin Manufacturing MarketLeader minus person plane plus right Save-Savings search InterestRate Stellplatz-Rad stock ComponentRepair twitter up xing youtube

IT Security

Hohe Verfügbarkeit und Integrität der IT-Systeme sind wesentliche Voraussetzungen für die ungestörte Abwicklung unseres Geschäftsbetriebs. Die MTU Aero Engines erzeugt, erhält und verarbeitet Daten mit besonderen Vertraulichkeitsanforderungen. Um diesen Anforderungen und Voraussetzungen gerecht zu werden, investieren wir umfangreich in die Umsetzung entsprechender technischer und organisatorischer Maßnahmen.

Regelmäßig steht die MTU dazu im Austausch mit externen Partnern und Institutionen, beispielsweise als Mitglied der Allianz für Cybersicherheit. Darüber hinaus begrüßen wir ausdrücklich Hinweise Externer auf mögliche Schwachstellen oder Vorfällen in unseren Systemen. 

 

Kontakt

IT Security
Tel: +49 89 14898558
MTU.IV-SiBe@mtu.de
Tel: +49 89 14898558
MTU.IV-SiBe@mtu.de

Meldung von Schwachstellen und IT-Sicherheitsvorfällen

Haben Sie eine mögliche Sicherheitslücke entdeckt oder wollen Sie einen IT-Sicherheitsvorfall melden? Bitte senden Sie alle relevanten Informationen an folgende E-Mail-Adresse:

MTU.IV-SiBe@mtu.de

Ihre E-Mail sollte folgende Informationen enthalten:

  • Betroffenes System
  • Beschreibung der Schwachstelle / des Vorfalls
  • Soweit vorhanden: Proof-of-Concept, Log-Dateien

Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir weitere Fragen haben.

Disclosure Policy zur Meldung von Schwachstellen

  1. Geltungsbereich

Diese Richtlinie gilt für alle öffentlich zugänglichen IT-Systeme der MTU. Bitte melden Sie uns Schwachstellen, die ausnutzbar sind, die direkt zu einer ausnutzbaren Schwachstelle führen oder die es ermöglichen, Benutzerdaten zu kompromittieren.

Nicht verifizierte Ergebnisse automatisierter Scans oder Schwachstellen, die sich der Kontrolle der MTU entziehen, können nicht berücksichtigt werden.
 

2. Responsible Disclosure:

  • Bitte nehmen Sie auf unsere bestehenden Anwendungen und Betrieb Rücksicht.
  • Bitte geben Sie uns eine angemessene Antwortzeit, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitte wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren.
  • Bitte greifen Sie nicht ohne unsere ausdrückliche Genehmigung auf unsere Daten oder die Daten unserer Benutzer zu oder ändern diese. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu.
  • Bitte kontaktieren Sie uns, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie bitte sofort alle lokalen Kopien der Daten, nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben.
  • Bitte handeln Sie gutwillig, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denial-of-Service) zu vermeiden.
  • Bitte halten Sie sich an alle geltenden Gesetze.
     

3. Rechtliche Folgen im Umgang mit der Disclosure Policy

Bei unbeabsichtigten oder gutgläubigen Verstößen gegen die Disclosure Policy erfolgt keine Einleitung zivilrechtlicher Schritte oder Meldung bei den Strafverfolgungsbehörden. Aktivitäten, die im Einklang mit der Richtlinie durchgeführt werden, werden als autorisiertes Verhalten betrachtet. Es werden keine Ansprüche gegen Sie geltend gemacht, wenn Sie unsere technologische Schutzmaßnahmen im Einklang mit dieser Richtlinie umgangen haben. 

Verschlüsselter Austausch von E-Mails mit der MTU Aero Engines

Wo immer das möglich ist, versendet und empfängt die MTU E-Mails verschlüsselt per TLS („TLS-Preferred“). Auf Anfrage kann auch vereinbart werden, dass E-Mails mit einem Geschäftspartner nur noch TLS-verschlüsselt übertragen werden („TLS-Required“). Informationen zur Einrichtung finden Sie in folgendem Dokument:

Hinweise zur Emailverschlüsselung

Bei Bedarf einer Einrichtung kontaktieren Sie bitte Ihren MTU Ansprechpartner.

Verifizierung digitaler Signaturen

In der MTU werden fortgeschrittene elektronische Signaturen (gem. eIDAS Verordnung) verwendet. Falls Sie als Partner der MTU die Validität dieser Signaturen überprüfen möchten, finden Sie im folgenden Zip-Archiv die dazu notwendigen öffentlichen Zertifikate:

MTU Zertifikate

Signaturen auf Basis von Softwarezertifikaten (2022 & 2023 im Einsatz)
mtu-de-stsign-ca-2022.crt

Signaturen auf Basis von Smartcards (Einsatz geplant ab 2023)
mtu-de-sign-ca-2022.crt

MTU CA Root Zertifikat zur Validierung der Zertifikatskette
mtu-root-ca-2018.crt