Richtlinie zur koordinierten Offenlegung von Schwachstellen

Einführung

Bei Sonova setzen wir uns dafür ein, die Sicherheit und Widerstandsfähigkeit unserer Produkte und der damit verbundenen Dienstleistungen zu gewährleisten. Wir verstehen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Jeder ist aufgefordert, vermutete Schwachstellen oder Sicherheitsbedenken bezüglich unserer Produkte oder ihrer zugrunde liegenden Software oder Infrastruktur zu melden. Dies umfasst Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Industriegruppen, Partner und alle anderen Stakeholder.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Eine Schwachstelle melden

Wir bitten jeden, der glaubt, eine potenzielle Sicherheitslücke in unseren Produkten oder verwandten Dienstleistungen entdeckt zu haben, diese so schnell wie möglich über unseren Kundenservice an uns zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Wenn Sonova einen Hinweis auf eine Sicherheitslücke bekommt, machen wir Folgendes:

Wir werden den Eingang deines Berichts bestätigen und damit bestätigen, dass deine Meldung eingegangen ist und bearbeitet wird.
Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
Wir priorisieren die Behebung gemeldeter Schwachstellen basierend auf ihrer Schwere und Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu unternehmen, um Risiken schnell und effektiv zu beheben und zu mindern.
Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausschlüsse

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
Durchführung von Aktivitäten, die die betriebliche Integrität unserer Produkte und zugehörigen Dienste oder Systeme absichtlich stören, beeinträchtigen oder gefährden.
Offenlegung einer identifizierten Schwachstelle in der Öffentlichkeit vor unserer Behebung.
Jegliche Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
Durchführung physischer Sicherheitsangriffe auf Vermögenswerte von Sonova.

Schwachstellen, die nicht in den Geltungsbereich dieses Programms fallen

Dieses Programm zur Offenlegung von Schwachstellen konzentriert sich auf Schwachstellen im Zusammenhang mit Sonova-Produkten, deren zugrunde liegender Infrastruktur und zugehörigen Diensten. Daher fallen Schwachstellen auf unserer Website oder öffentlich zugänglichen Infrastruktur derzeit nicht in den Geltungsbereich dieses Programms.

Um eine effiziente Zuweisung von Ressourcen zu ermöglichen und uns auf die Minderung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, definieren wir die folgenden Kategorien als außerhalb des Geltungsbereichs dieses Programms zur Offenlegung von Schwachstellen. Die Meldung dieser kann zu keiner Bestätigung oder Behebungsmaßnahmen führen:

Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
Beobachtungen bezüglich schwacher SSL-/TLS-kryptografischer Algorithmen und Schwachstellen in TLS-Setups, es sei denn, es kann ein tatsächliches, ausnutzbares Risiko, das spezifisch für unsere Umgebung ist, nachgewiesen werden.
Fehlen empfohlener Sicherheitsmaßnahmen, Implementierung von Bibliotheken, die für Schwachstellen bekannt sind, oder detaillierte Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Bei Sonova schätzen wir die Beiträge von Sicherheitsforschern und erkennen die Bedeutung ihrer Bemühungen zur Verbesserung der Sicherheit unserer Produkte an.

Wenn du die Richtlinien unserer Offenlegungsrichtlinie für Schwachstellen einhältst, werden deine Handlungen als autorisiert betrachtet und wir werden keine rechtlichen Schritte gegen dich einleiten. Obwohl wir verantwortungsvolle Sicherheitsforschung unterstützen, beachte bitte, dass deine Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze entbindet. Sollten rechtliche Schritte von einer dritten Partei im Zusammenhang mit deinen Aktivitäten unter dieser Richtlinie eingeleitet werden, sei dir bitte bewusst, dass wir zwar bestrebt sind, die Art deiner Einhaltung unserer Richtlinie zu klären, wir jedoch keine rechtliche Vertretung oder direkte Intervention in deinem Namen übernehmen können.