Richtlinie zur koordinierten Schwachstellenoffenlegung

Einleitung

Bei Sonova setzen wir uns dafür ein, die Sicherheit und Widerstandsfähigkeit unserer Produkte und der damit verbundenen Dienstleistungen zu gewährleisten. Wir verstehen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Jeder wird ermutigt, vermutete Schwachstellen oder Sicherheitsbedenken im Zusammenhang mit unseren Produkten oder deren zugrunde liegender Software oder Infrastruktur zu melden. Dies umfasst Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Industriegruppen, Partner und alle anderen Stakeholder.

Bevor Sie einen Bericht einreichen, lesen Sie diese Richtlinie bitte sorgfältig durch und stellen Sie sicher, dass Ihre Handlungen mit ihren Richtlinien übereinstimmen.

Meldung einer Schwachstelle

Wir bitten jeden, der eine potenzielle Sicherheitslücke in unseren Produkten oder zugehörigen Dienstleistungen entdeckt hat, diese so schnell wie möglich über unseren Kundenservice an uns zu melden.

Bitte beachten Sie bei der Einreichung eines Berichts die folgenden Richtlinien:

• Geben Sie detaillierte Informationen zur potenziellen Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Eine Vorlage zur Meldung Ihres Befunds finden Sie im Anhang.
• Vermeiden Sie Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen könnten. Bitte unterlassen Sie es, materiellen Schaden zu verursachen, Daten zu verändern, die Eskalation von Berechtigungen zu missbrauchen oder mehr Daten herunterzuladen, als zur Demonstration der Schwachstelle erforderlich ist.
• Wahren Sie die Vertraulichkeit Ihrer Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen umgesetzt haben. Dies schützt unsere Nutzer und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
• Bitte informieren Sie uns im Voraus über Ihre Absicht, die Schwachstelle öffentlich bekannt zu geben.
• Bitte geben Sie Ihre Kontaktdaten, wie eine E-Mail-Adresse oder Telefonnummer, an, damit wir für weitere Untersuchungen mit Ihnen in Kontakt treten können.

Unser Engagement

Nach Erhalt einer Meldung über eine Sicherheitslücke verpflichtet sich Sonova zu Folgendem:

• Wir werden den Eingang Ihres Berichts bestätigen und damit bestätigen, dass Ihre Einreichung erhalten und bearbeitet wird.
• Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir können Sie für weitere Informationen oder Klärungen kontaktieren, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
• Wir priorisieren die Behebung gemeldeter Schwachstellen basierend auf deren Schweregrad und Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu unternehmen, um Risiken schnell und effektiv zu beheben und zu mindern.
• Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit Ihnen pflegen. Sie werden über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei regelmäßige Updates in wichtigen Phasen bereitgestellt werden.

Ausschlüsse

Obwohl wir die Meldung jeglicher gefundener Sicherheitslücken fördern, beachten Sie bitte, dass die folgenden Handlungen strengstens untersagt sind:

• Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
• Zugriff, Herunterladen, Ändern oder anderweitiges Beeinträchtigen von Daten in Konten oder Systemen, die Ihnen nicht gehören oder für die Sie keine ausdrückliche Interaktionsberechtigung haben.
• Durchführung von Aktivitäten, die die operative Integrität unserer Produkte und zugehörigen Dienstleistungen oder Systeme absichtlich stören, beeinträchtigen oder gefährden.
• Offenlegung identifizierter Schwachstellen in der Öffentlichkeit vor unserer Behebung.
• Beteiligung an jeglicher Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
• Durchführung physischer Sicherheitsangriffe auf Sonovas Vermögenswerte.

Schwachstellen, die nicht in den Geltungsbereich dieses Programms fallen

Dieses Programm zur Offenlegung von Schwachstellen konzentriert sich auf Schwachstellen im Zusammenhang mit Sonova-Produkten, deren zugrunde liegender Infrastruktur und zugehörigen Dienstleistungen. Daher fallen Schwachstellen auf unserer Website oder öffentlich zugänglichen Infrastruktur derzeit nicht in den Geltungsbereich dieses Programms.

Um eine effiziente Zuweisung von Ressourcen zu ermöglichen und uns auf die Minderung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, definieren wir die folgenden Kategorien als außerhalb des Geltungsbereichs dieses Programms zur Offenlegung von Schwachstellen. Die Meldung dieser kann nicht zu einer Bestätigung oder Abhilfemaßnahmen führen:

• Einreichungen, die aus automatisierten Scanning-Tools oder automatisierter Analyse resultieren.
• Beobachtungen bezüglich schwacher SSL/TLS-Kryptographiealgorithmen und Schwachstellen in TLS-Setups, es sei denn, es kann ein tatsächliches, ausnutzbares Risiko spezifisch für unsere Umgebung nachgewiesen werden.
• Fehlen empfohlener Sicherheitsmaßnahmen, Implementierung von Bibliotheken mit bekannten Schwachstellen oder detaillierte Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Bei Sonova schätzen wir die Beiträge von Sicherheitsforschern und erkennen die Bedeutung ihrer Bemühungen zur Verbesserung der Sicherheit unserer Produkte an.

Wenn Sie die Richtlinien unserer Offenlegungsrichtlinie für Schwachstellen einhalten, werden Ihre Handlungen als autorisiert betrachtet, und wir werden keine rechtlichen Schritte gegen Sie einleiten. Obwohl wir verantwortungsvolle Sicherheitsforschung unterstützen, beachten Sie bitte, dass die Einhaltung dieser Richtlinie Sie nicht von der Einhaltung geltender lokaler Gesetze entbindet. Sollte ein Dritter rechtliche Schritte im Zusammenhang mit Ihren Aktivitäten gemäß dieser Richtlinie einleiten, beachten Sie bitte, dass wir zwar bestrebt sind, die Art Ihrer Einhaltung unserer Richtlinie zu klären, jedoch keine rechtliche Vertretung oder direkte Intervention in Ihrem Namen übernehmen können.

Kontakt

Bei Fragen oder Meldungen zu Sicherheitslücken wenden Sie sich bitte an unseren Kundenservice https://eu.sennheiser-hearing.com/pages/contact/.