Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

Einführung

Bei Sonova setzen wir uns dafür ein, dass unsere Produkte und die damit verbundenen Dienstleistungen sicher und robust sind. Wir wissen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Wir ermutigen alle, vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder die zugrunde liegende Software oder Infrastruktur zu melden. Dazu gehören Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchenverbände, Partner und alle anderen Interessengruppen.

Bevor du einen Bericht einreichst, lies dir diese Richtlinie bitte genau durch und stell sicher, dass deine Handlungen mit den darin enthaltenen Vorgaben übereinstimmen.

Eine Schwachstelle melden

Wir bitten alle, die glauben, eine mögliche Sicherheitslücke in unseren Produkten oder damit verbundenen Diensten entdeckt zu haben, uns das so schnell wie möglich über unseren Kundendienst zu melden.

Wenn du einen Bericht einreichst, halte dich bitte an diese Richtlinien:

• Gib bitte detaillierte Infos über die mögliche Schwachstelle, einschließlich einer klaren Beschreibung und der Schritte, um den Befund zu reproduzieren. Eine Vorlage für die Meldung deines Befunds findest du im Anhang.
• Mach nichts, was die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte, Dienstleistungen oder Daten gefährden könnte. Bitte verursache keinen materiellen Schaden, verändere keine Daten, missbrauche keine Privilegien und lade nicht mehr Daten herunter, als nötig ist, um die Schwachstelle zu zeigen.
• Bitte behalte deine Erkenntnisse für dich, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen umgesetzt haben. Das hilft, unsere Nutzer zu schützen und sorgt dafür, dass Sicherheitsprobleme verantwortungsvoll behandelt werden.
• Bitte sag uns rechtzeitig Bescheid, wenn du vorhast, die Sicherheitslücke öffentlich zu machen.
• Gib uns bitte deine Kontaktdaten wie E-Mail-Adresse oder Telefonnummer, damit wir uns wegen weiterer Untersuchungen bei dir melden können.

Unser Engagement

Wenn Sonova einen Hinweis auf eine Sicherheitslücke bekommt, machen wir Folgendes:

• Wir melden uns bei dir, um dir zu sagen, dass wir deine Meldung bekommen haben und sie gerade bearbeiten.
• Unser engagiertes Sicherheitsteam wird die gemeldete Schwachstelle gründlich untersuchen. Wir melden uns vielleicht bei dir, um weitere Infos oder Klarstellungen zu bekommen, damit wir die Schwachstelle richtig verstehen.
• Wir kümmern uns um gemeldete Sicherheitslücken, je nachdem, wie schlimm und kompliziert sie sind. Unser Team tut alles, um Risiken schnell und effektiv zu beheben und zu verringern.
• Wir werden während des gesamten Prozesses offen und transparent mit dir kommunizieren. Du wirst über unsere Fortschritte bei der Untersuchung und Lösung des Problems auf dem Laufenden gehalten und bekommst regelmäßig Updates zu wichtigen Meilensteinen.

Ausschlüsse

Wir freuen uns, wenn du uns Sicherheitslücken meldest, aber bitte denk dran, dass die folgenden Sachen echt nicht okay sind:

• Die Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
• Auf Daten in Konten oder Systemen zugreifen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis hast, sie zu nutzen, sie herunterladen, ändern oder auf andere Weise manipulieren.
• Aktivitäten, die absichtlich die Funktionsfähigkeit unserer Produkte und der damit verbundenen Dienste oder Systeme stören, beeinträchtigen oder gefährden.
• Die offizielle Bekanntgabe einer identifizierten Schwachstelle, bevor wir sie behoben haben.
• Irgendeine Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
• Angriffe auf die physische Sicherheit der Sachen von Sonova.

Sicherheitslücken, die nicht unter dieses Programm fallen

Dieses Programm zur Offenlegung von Sicherheitslücken konzentriert sich auf Schwachstellen in Bezug auf Sonova-Produkte, die zugrunde liegende Infrastruktur und damit verbundene Dienste. Daher fallen Sicherheitslücken auf unserer Website oder in unserer öffentlich zugänglichen Infrastruktur derzeit nicht in den Geltungsbereich dieses Programms.

Um Ressourcen effizient einzusetzen und uns auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, haben wir die folgenden Kategorien als nicht in den Geltungsbereich dieses Programms zur Offenlegung von Sicherheitslücken fallend definiert. Die Meldung dieser Schwachstellen führt möglicherweise nicht zu einer Bestätigung oder zu Abhilfemaßnahmen:

• Beiträge, die durch automatische Scan-Tools oder automatische Analysen erstellt wurden.
• Anmerkungen zu schwachen SSL/TLS-Verschlüsselungsalgorithmen und Schwachstellen in TLS-Konfigurationen, es sei denn, es kann ein echtes, ausnutzbares Risiko speziell für unsere Umgebung nachgewiesen werden.
• Fehlende empfohlene Sicherheitsmaßnahmen, die Nutzung von Bibliotheken, die für ihre Schwachstellen bekannt sind, oder detaillierte Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege für die Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Wir bei Sonova schätzen die Arbeit von Sicherheitsforschern und wissen, wie wichtig sie für die Verbesserung der Sicherheit unserer Produkte sind.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken befolgst, werden deine Handlungen als autorisiert angesehen und wir werden keine rechtlichen Schritte gegen dich einleiten. Wir unterstützen zwar verantwortungsbewusste Sicherheitsforschung, aber bitte beachte, dass die Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Wenn ein Dritter rechtliche Schritte wegen deiner Aktivitäten im Rahmen dieser Richtlinie einleitet, wollen wir zwar die Einhaltung unserer Richtlinie klären, können dich aber nicht rechtlich vertreten oder direkt für dich eingreifen.

Schreib uns einfach

Wenn du Fragen oder Hinweise zu Sicherheitslücken hast, schreib einfach an unseren Kundenservice unter https://eu.sennheiser-hearing.com/pages/contact/.