Richtlinie zur Offenlegung von Schwachstellen

Einführung

Die Hager Group verfolgt einen „Secure by Design“ Ansatz für ihre vernetzten Produkte und Dienstleistungen.

Die vorliegende Richtlinie zur Offenlegung von Sicherheitslücken
ist Teil dieses Ansatzes. Sie beschreibt, wie Sie Schwachstellen in der Cybersicherheit und im Datenschutz in Produkten und Dienstleistungen der Hager Group melden können. Sie erklärt auch, was wir tun, nachdem wir Ihre Meldung erhalten haben. 

Bitte lesen Sie diese Richtlinie vollständig durch, bevor Sie eine Schwachstelle melden, und handeln Sie stets in Übereinstimmung mit ihr.

Wir wissen die Zeit und Mühe, die Sie für die Meldung von Sicherheitslücken aufwenden zu schätzen, denn das schützt unsere Produkte und macht sie sicherer. Wir haben jedoch kein Bug-Bounty-Programm und bieten keine finanziellen Belohnungen für die Meldung von Sicherheitslücken.

 
Alle Hinweise finden
Melden Sie eine Sicherheitslücke

Wie melde ich eine Sicherheitslücke?

Wenn Sie glauben, eine mit einem unserer Produkte in Zusammenhang stehende Schwachstelle gefunden zu haben, oder eine, die einer unserer Applikationen oder Dienstleistungen zugeordnet werden kann, dann senden Sie uns bitte einen Sicherheitslückenbericht. Nutzen Sie dazu das Formular am Ende dieser Seite. Wir weisen Sie darauf hin, dass interne Infrastruktur der Hager Group nicht in den Geltungsbereich fällt.
Ihr Bericht muss folgende Information enthalten:

- Ihre E-Mail-Adresse und Ihren Namen (fakultativ) für Koordinierungszwecke. Wir werden die von Ihnen bereitgestellten Informationen nur zur Bestätigung verwenden und um mit Ihnen in Kontakt zu treten (sofern Sie damit einverstanden sind). Weitere Informationen finden Sie in unserem Datenschutzhinweis.
- Die anfälligen Objekte und die zur Entdeckung der Schwachstelle verwendete Konfiguration: Informationen über das Produkt, den Dienst oder die Website, die die Schwachstelle enthält. Zum Beispiel: Name, Version, Seriennummer, IP-Adresse, URL, usw.
- Eine Beschreibung der Sicherheitslücke und ihrer möglichen Auswirkungen. Wenn es geht, führen Sie bitte die möglichen Ursachen für Ihre Feststellungen auf.
- Die Schritte zur Reproduktion der Sicherheitslücke. Dies kann eine Liste von Schritten oder Empfehlungen sein, die wir zur Überprüfung und Eingrenzung der Schwachstelle verwenden können.

Wie geht es weiter?

Unser Ziel ist es, alles Sicherheitslücken innerhalb von 90 Tagen beseitigt zu haben.

Während des Vorganges werden wir Sie über unsere Schritte auf dem Laufenden halten.

Bericht eingereicht

Antwort auf Ihren Bericht

Bis zu einer Woche

Triage

Bis zu einem Monat

Beseitigung

Wir werden Sie alle zwei Wochen auf den neuesten Stand bringen und Sie werden die Möglichkeit haben, die Problemlösungen zu bestätigen, bevor wir die Korrektur veröffentlichen.

 

Korrekturveröffentlichung und Empfehlung

90 Tage nach der Einreichung (wenn kein Embargo besteht). Wenn Sie den Vorschlag annehmen, werden wir Sie in unserer (gemeinsamen) Empfehlung und auf unserer Danksagungs-Webseite erwähnen.

von

Leitfaden

Bitte beachten Sie die folgenden Hinweise, wenn Sie eine Sicherheitslücke melden. Die Hager Group wird keine rechtlichen Schritte gegen Nachforschende einleiten, die diese Richtlinie befolgen.

Es ist unbedingt notwendig:

- Einen Schwachstellenbericht mit allen relevanten Details einzureichen.

- Mit unserem Team zusammenzuarbeiten, indem Sie alle unsere Anfragen zu Ihrem Bericht innerhalb einer Woche beantworten.

- Stets die geltenden Gesetze und Vorschriften einzuhalten.

- Sich zu verpflichten, eine gemeldete Schwachstelle erst dann öffentlich zu machen, wenn eine Korrektur oder Entschärfung veröffentlicht wurde und Sie die Erlaubnis zur Veröffentlichung erhalten haben.

Nicht erlaubt ist es:

- Eine finanzielle Entschädigung für die Offenlegung einer Sicherheitslücke zu verlangen.
- auf Social Engineering, Phishing oder physische Angriffe gegen unsere Mitarbeiter oder unsere Infrastruktur zurückzugreifen.
- Versuchen, Dienste oder Produktionssysteme zu stören. Bitte unterlassen Sie es, hochintensive invasive oder zerstörerische Scan-Tools zu verwenden, um Schwachstellen in gehosteten Systemen zu finden. Führen Sie NIEMALS Denial-of-Service-Angriffe durch.
- Daten in Systemen oder Diensten ohne vorherige Genehmigung zu modifizieren.

 

Eine Schwachstelle melden

Zugang zum Meldeformular