Koordinierte Richtlinie zur Offenlegung von Schwachstellen

Einführung

Bei Sonova setzen wir uns dafür ein, dass unsere Produkte und die damit verbundenen Dienstleistungen sicher und robust sind. Wir wissen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Wir ermutigen alle, vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder die zugrunde liegende Software oder Infrastruktur zu melden. Dazu gehören Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchenverbände, Partner und alle anderen Interessengruppen.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Eine Schwachstelle melden

Wir bitten alle, die glauben, eine mögliche Sicherheitslücke in unseren Produkten oder damit verbundenen Diensten entdeckt zu haben, uns das so schnell wie möglich über unseren Kundendienst zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

• Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
• Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
• Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
• Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
• Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Wenn Sonova einen Hinweis auf eine Sicherheitslücke bekommt, machen wir Folgendes:

• Wir melden uns bei dir, um dir zu sagen, dass wir deine Meldung bekommen haben und sie gerade bearbeiten.
• Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
• Wir kümmern uns um gemeldete Sicherheitslücken, je nachdem, wie schlimm und kompliziert sie sind. Unser Team tut alles, um Risiken schnell und effektiv zu beheben und zu verringern.
• Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausschlüsse

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

• Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
• Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
• Aktivitäten, die absichtlich die Funktionsfähigkeit unserer Produkte und der damit verbundenen Dienste oder Systeme stören, beeinträchtigen oder gefährden.
• Die offizielle Bekanntgabe einer identifizierten Schwachstelle, bevor wir sie behoben haben.
• Irgendeine Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
• Angriffe auf die physische Sicherheit der Sachen von Sonova.

Sicherheitslücken, die nicht unter dieses Programm fallen

Dieses Programm zur Offenlegung von Sicherheitslücken konzentriert sich auf Schwachstellen in Bezug auf Sonova-Produkte, die zugrunde liegende Infrastruktur und damit verbundene Dienste. Daher fallen Sicherheitslücken auf unserer Website oder in unserer öffentlich zugänglichen Infrastruktur derzeit nicht in den Geltungsbereich dieses Programms.

Um Ressourcen effizient einzusetzen und uns auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, haben wir die folgenden Kategorien als nicht in den Geltungsbereich dieses Programms zur Offenlegung von Sicherheitslücken fallend definiert. Die Meldung dieser Schwachstellen führt möglicherweise nicht zu einer Bestätigung oder zu Abhilfemaßnahmen:

• Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
• Anmerkungen zu schwachen SSL/TLS-Verschlüsselungsalgorithmen und Schwachstellen in TLS-Konfigurationen, es sei denn, es kann ein echtes, ausnutzbares Risiko speziell für unsere Umgebung nachgewiesen werden.
• Fehlende empfohlene Sicherheitsmaßnahmen, die Nutzung von Bibliotheken, die für ihre Schwachstellen bekannt sind, oder detaillierte Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege für die Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Wir bei Sonova schätzen die Arbeit von Sicherheitsforschern und wissen, wie wichtig sie für die Verbesserung der Sicherheit unserer Produkte sind.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken befolgst, werden deine Handlungen als autorisiert angesehen und wir werden keine rechtlichen Schritte gegen dich einleiten. Wir unterstützen zwar verantwortungsbewusste Sicherheitsforschung, aber bitte beachte, dass die Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Wenn ein Dritter rechtliche Schritte wegen deiner Aktivitäten im Rahmen dieser Richtlinie einleitet, wollen wir zwar die Einhaltung unserer Richtlinie klären, können dich aber nicht rechtlich vertreten oder direkt für dich eingreifen.

Schreib uns einfach

Wenn du Fragen oder Hinweise zu Sicherheitslücken hast, schreib einfach an unseren Kundenservice unter https://eu.sennheiser-hearing.com/pages/contact/.