Koordinierte Richtlinie zur Offenlegung von Schwachstellen

Einleitung

Wir bei Sonova setzen uns dafür ein, die Sicherheit und Robustheit unserer Produkte und der damit verbundenen Dienste zu gewährleisten. Uns ist bewusst, dass trotz unserer Bemühungen Schwachstellen auftreten können. Wir bitten alle, vermutete Schwachstellen oder Sicherheitsbedenken im Zusammenhang mit unseren Produkten oder der ihnen zugrunde liegenden Software bzw. Infrastruktur zu melden. Dazu gehören Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchenverbände, Partner und alle anderen Interessengruppen.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Eine Sicherheitslücke melden

Wir bitten alle, die glauben, eine mögliche Sicherheitslücke in unseren Produkten oder den damit verbundenen Diensten entdeckt zu haben, uns dies so schnell wie möglich über unseren Kundenservice zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

• Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
• Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
• Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
• Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
• Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Sobald Sonova eine Meldung über eine Sicherheitslücke erhält, verpflichtet sich das Unternehmen zu Folgendem:

• Wir bestätigen dir den Eingang deiner Meldung und teilen dir mit, dass deine Meldung bei uns eingegangen ist und bearbeitet wird.
• Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
• Wir priorisieren die Behebung gemeldeter Sicherheitslücken nach ihrem Schweregrad und ihrer Komplexität. Unser Team ist bestrebt, die notwendigen Maßnahmen zu ergreifen, um Risiken schnell und effektiv zu beheben und zu mindern.
• Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausnahmen

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

• Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
• Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
• Handlungen, die gezielt die Betriebsintegrität unserer Produkte und der damit verbundenen Dienste oder Systeme stören, beeinträchtigen oder gefährden.
• Eine festgestellte Sicherheitslücke öffentlich bekanntzugeben, bevor wir sie behoben haben.
• Sich an jeglicher Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegenüber unseren Mitarbeitern, Nutzern oder unserer Infrastruktur zu beteiligen.
• Durchführung von Angriffen auf die physische Sicherheit der Anlagen von Sonova.

Sicherheitslücken, die nicht in den Anwendungsbereich dieses Programms fallen

Dieses Programm zur Offenlegung von Sicherheitslücken konzentriert sich auf Schwachstellen im Zusammenhang mit Sonova-Produkten, der ihnen zugrunde liegenden Infrastruktur und den damit verbundenen Diensten. Daher fallen Sicherheitslücken auf unserer Website oder in unserer öffentlich zugänglichen Infrastruktur derzeit nicht in den Geltungsbereich dieses Programms.

Um Ressourcen effizient einsetzen zu können und uns auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, definieren wir die folgenden Kategorien als nicht in den Geltungsbereich dieses Programms zur Offenlegung von Sicherheitslücken fallend. Die Meldung solcher Schwachstellen führt möglicherweise nicht zu einer Bestätigung oder zu Abhilfemaßnahmen:

• Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
• Hinweise zu schwachen SSL/TLS-Verschlüsselungsalgorithmen und Schwachstellen in TLS-Konfigurationen, sofern kein konkretes, ausnutzbares Risiko nachgewiesen werden kann, das speziell unsere Umgebung betrifft.
• Das Fehlen empfohlener Sicherheitsmaßnahmen, die Verwendung von Bibliotheken, die für Sicherheitslücken bekannt sind, oder detaillierte Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege zur Ausnutzung.

Rechtlicher Hinweis / Safe-Harbor-Klausel

Wir bei Sonova schätzen die Beiträge von Sicherheitsforschern sehr und sind uns bewusst, wie wichtig ihre Arbeit für die Verbesserung der Sicherheit unserer Produkte ist.

Wenn du dich an die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken hältst, gelten deine Handlungen als autorisiert, und wir werden keine rechtlichen Schritte gegen dich einleiten. Wir unterstützen zwar verantwortungsvolle Sicherheitsforschung, bitte beachte jedoch, dass die Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Sollten Dritte im Zusammenhang mit deinen Aktivitäten gemäß dieser Richtlinie rechtliche Schritte einleiten, beachte bitte, dass wir zwar bestrebt sind, die Art deiner Einhaltung unserer Richtlinie zu klären, wir jedoch keine rechtliche Vertretung oder direkte Intervention in deinem Namen übernehmen können.

Kontakt

Bei Fragen oder Hinweisen zu Sicherheitslücken wende dich bitte an unseren Kundenservice unter https://eu.sennheiser-hearing.com/pages/contact/.