Produkte
Industries
IoT
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IOT Software und Services. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IoT Systeme. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IoT Module und Boards. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich Ethernet TSN Switching. Kontaktieren Sie uns jederzeit bei Fragen.
Support & Services
Kontakt
Brauchen Sie Hilfe? Dann kontaktieren Sie unser Support Team:
Support kontaktieren
Kontakt
Brauchen Sie Hilfe? Dann kontaktieren Sie unser Support Team:
Support kontaktieren
Downloads
Hier finden Sie alle Whitepaper, Use Cases, Broschüren und Artikel zu unseren Produkten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Anwenderberichten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie alle detaillierte und spezifische Infos zu unseren Produkten und Lösungen in unseren Whitepapers. Kontaktieren Sie uns jederzeit bei Fragen.
Hier finden Sie alle Whitepaper, Use Cases, Broschüren und Artikel zu unseren Produkten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Webcasts. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Anwenderberichten. Kontaktieren Sie uns jederzeit bei Fragen.
Über Kontron
Richtlinie zur Offenlegung von Schwachstellen
Unsere Richtlinie für die Annahme von Berichten über Sicherheitslücken in unseren Produkte
Kontron ist bestrebt, die Sicherheit seiner Kunden zu gewährleisten. Wir hoffen, eine offene Partnerschaft mit der Sicherheits-Community zu pflegen, und erkennen an, dass die Arbeit der Community wichtig ist, um die Sicherheit für alle zu gewährleisten.
Wir haben diese Richtlinie für Sicherheitslücken entwickelt, um unsere Unternehmenswerte widerzuspiegeln und unsere rechtliche Verantwortung gegenüber gutgläubigen Sicherheitsforschern, die uns ihr Fachwissen zur Verfügung stellen, zu wahren.
Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Sicherheitslücken, die Sie uns (der "Organisation") zu melden gedenken. Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und immer in Übereinstimmung mit ihr zu handeln. Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitslücken gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine finanziellen Belohnungen für die Meldung von Sicherheitslücken an.
Melden
Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie uns bitte Ihren Bericht per E-Mail: security@kontron.com
Geben Sie in Ihrem Bericht bitte folgende Details an:
- Die Website, IP oder Seite, auf der die Schwachstelle beobachtet werden kann.
- Eine kurze Beschreibung der Art der Sicherheitslücke, zum Beispiel: "XSS-Schwachstelle".
- Schritte zur Reproduktion. Dabei sollte es sich um einen harmlosen, nicht schädlichen Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und genau bearbeitet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder der böswilligen Ausnutzung einiger Schwachstellen, wie z. B. der Übernahme von Subdomains.
Was Sie erwarten können
Nachdem Sie Ihre Meldung eingereicht haben, werden wir sie innerhalb von 5 Arbeitstagen beantworten und uns bemühen, Ihre Meldung innerhalb von 10 Arbeitstagen zu bearbeiten. Wir werden Sie außerdem über unsere Fortschritte auf dem Laufenden halten. Die Priorität der Abhilfemaßnahmen wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle beurteilt.
Die Sichtung und Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Sie können sich gerne nach dem Stand der Dinge erkundigen, sollten dies aber nicht öfter als einmal alle 14 Tage tun. So können sich unsere Teams auf die Behebung der Schwachstelle konzentrieren. Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist, und Sie können aufgefordert werden, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.
Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen, Ihren Bericht zu veröffentlichen. Wir möchten die Hinweise für die betroffenen Benutzer vereinheitlichen. Bitte koordinieren Sie daher die Veröffentlichung weiterhin mit uns.
Leitlinien
Sie müssen:
- stets die Datenschutzbestimmungen einhalten und dürfen die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme der Organisation nicht verletzen. Sie dürfen z. B. Daten, die Sie aus den Systemen oder Diensten abgerufen haben, nicht weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
- alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzrecht vorschreibt).
Sie dürfen NICHT:
- gegen geltende Gesetze oder Vorschriften verstoßen.
- auf unnötige, übermäßige oder erhebliche Datenmengen zuzugreifen.
- Daten in den Systemen oder Diensten der Organisation ändern.
- invasive oder schädliche Scan-Tools mit hoher Intensität verwenden, um Schwachstellen zu finden.
- jegliche Form der Dienstverweigerung (Denial of Service) versuchen oder melden, z. B. einen Dienst mit einer hohen Anzahl von Anfragen zu überlasten.
- die Dienste oder Systeme der Organisation stören.
- Berichte über nicht ausnutzbare Schwachstellen oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header, einreichen.
- Social Engineer, "Phish" oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation vornehmen
- eine finanzielle Entschädigung für die Offenlegung von Schwachstellen verlangen.
Rechtliche Hinweise
Wir haben diese Richtlinie so gestaltet, dass sie mit der gängigen Praxis der Offenlegung von Sicherheitslücken vereinbar ist. Sie gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.
Fragen
Senden Sie alle Fragen zu dieser Richtlinie an security@kontron.com. Wir fordern Sie auch auf, uns Vorschläge zur Verbesserung dieser Richtlinie zu machen.
