Sicherheitslücken melden

Richtlinie von Theben zur verantwortungsvollen Offenlegung?

Theben entwickelt und liefert Produkte und Lösungen, die hohen Ansprüchen an Qualität, Zuverlässigkeit und Sicherheit gerecht werden. Das Theben Product Security Incident Response Team (PSIRT) unterstützt dieses Ziel, indem es Sicherheitsprobleme, die von externen Sicherheitsforschern, Partnern oder Kunden in Theben-Produkten, -Systemen oder -Diensten festgestellt wurden, bearbeitet und behebt.?

Das Theben PSIRT koordiniert die Bewertung und Bearbeitung von (potenziellen) Sicherheitslücken und Vorfällen in enger Zusammenarbeit mit den internen Technik- und Entwicklungsteams. Dazu gehören die Überprüfung der gemeldeten Befunde, die Bewertung der Auswirkungen und Risiken, die Festlegung geeigneter Abhilfemaßnahmen sowie die Erstellung eines strukturierten Reaktionsplans. Während des gesamten Prozesses pflegt Theben eine transparente und regelmäßige Kommunikation mit dem Hinweisgeber.

Theben befürwortet die koordinierte Offenlegung von Sicherheitslücken. Wir bitten Sie, gemeldete Sicherheitslücken vertraulich zu behandeln und nicht öffentlich bekannt zu geben, bis eine geeignete Korrektur, Abhilfemaßnahme oder ein Hinweis zur Verfügung gestellt wurde. Eine vorzeitige Veröffentlichung könnte Kunden und Partner unnötigen Risiken aussetzen.

Alle gemeldeten Sicherheitslücken sind willkommen, unabhängig vom Status im Produktlebenszyklus oder dem Bestehen eines Service- oder Wartungsvertrags. Theben nimmt Meldungen von unabhängigen Forschern, Branchenverbänden, CERTs (Computer Emergency Response Teams), Partnern, Kunden und anderen Interessengruppen entgegen. Es werden auch anonyme Meldungen entgegengenommen.

Theben verpflichtet sich, alle gemeldeten Sicherheitslücken zu prüfen und zu beheben, von denen vernünftigerweise angenommen werden kann, dass sie seine Produkte, Systeme oder Dienste betreffen, und setzt sich nachdrücklich für eine koordinierte Offenlegung ein, um eine verantwortungsvolle Risikominderung und den Schutz der Kunden zu gewährleisten.

Wie melde ich eine Sicherheitslücke?

Wenn Sie glauben, eine potenzielle Sicherheitslücke oder einen Sicherheitsvorfall im Zusammenhang mit einer Theben-Website, einem Theben-Produkt, einer Theben-Dienstleistung oder einem Datenschutzproblem entdeckt zu haben, befolgen Sie bitte die nachstehenden Schritte und nutzen Sie das entsprechende Kontaktformular, um uns darüber zu informieren.

Das Theben Product Security Incident Response Team (PSIRT) befürwortet die verantwortungsvolle Offenlegung von Sicherheitslücken.. Unser Ziel ist es, festgestellte Schwachstellen zeitnah zu beheben, unseren Kunden und Partnern transparente und genaue Informationen zur Verfügung zu stellen und die Sicherheit und Ausfallsicherheit unserer Produkte und Dienstleistungen kontinuierlich zu verbessern.

Welche Informationen müssen eingereicht werden?

Um eine effiziente Analyse und Behebung zu ermöglichen, geben Sie bitte die folgenden Informationen an, wenn Sie eine potenzielle Sicherheitslücke melden, die ein Produkt, ein System, einen Dienst oder eine Website von Theben betrifft:

Betroffene Komponente:
Produktname, Modellbezeichnung, Hardware- und Firmware-/Softwareversion (sofern verfügbar) oder die konkrete URL im Falle einer Sicherheitslücke auf einer Website.

Technische Beschreibung der Sicherheitslücke:
Eine klare und reproduzierbare Beschreibung des Problems, nach Möglichkeit einschließlich einer Folgenabschätzung. Bitte fügen Sie, sofern verfügbar, Proof-of-Concept-Material, Exploit-Code, Konfigurationsdetails, Protokolldateien, Paketaufzeichnungen oder Netzwerk-Traces bei.
Sollte es sich um eine große Datenmenge handeln, kann Theben auf Anfrage einen sicheren Mechanismus zur Datenübertragung bereitstellen.

Offenlegungsstatus und Referenzen:
Alle bekannten öffentlichen Referenzen (z. B. Links zu Sicherheitshinweisen, Issue-Tracker, CVE-Kennungen). Bitte geben Sie eindeutig an, ob die Sicherheitslücke bereits öffentlich bekannt gegeben wurde und, falls ja, von wem und zu welchem Zeitpunkt.

Das Theben-Versprechen

Wir bitten darum, dass gemeldete Sicherheitslücken streng vertraulich behandelt und nicht an Dritte weitergegeben werden, bis die Behebung abgeschlossen ist und eine abgestimmte Kommunikation mit Theben vereinbart wurde.

Im Rahmen des „Theben Responsible Disclosure“-Konzepts verpflichtet sich das Theben Product Security Incident Response Team (PSIRT) in Zusammenarbeit mit den zuständigen Technik- und Entwicklungsabteilungen zu Folgendem:

Bestätigen Sie den Erhalt eines Sicherheitslückenberichts zeitnah. Führen Sie eine strukturierte technische Begutachtung durch und erstellen Sie einen vorläufigen Zeitplan für die Behebung der Mängel. Benachrichtigen Sie den Hinweisgeber, sobald Korrektur- oder Abhilfemaßnahmen umgesetzt wurden.

Die Regelfrist für die Empfangsbestätigung eines Sicherheitslückenberichts beträgt zwei (2) Werktage, wobei Wochenenden und Feiertage in Baden-Württemberg nicht mitgerechnet werden. Sobald wesentliche Erkenntnisse vorliegen, werden wir Sie über den aktuellen Stand informieren.

Theben wird von rechtlichen Schritten gegen Hinweisgeber absehen, die in gutem Glauben und im Einklang mit dieser Richtlinie handeln, sofern:

Es werden keine vorsätzlichen Störungen, Beschädigungen oder Ausbeutungen vorgenommen. Vertraulichkeit, Datenschutz, Systemintegrität und Betriebsbereitschaft werden gewahrt. Es werden keine geltenden Strafgesetze verletzt. Die Veröffentlichung erfolgt in Abstimmung mit Theben und erst, nachdem die Sanierungs- oder Abhilfemaßnahmen abgeschlossen sind.

Theben würdigt und schätzt den Beitrag von Sicherheitsforschern und anderen Beteiligten, die Sicherheitslücken verantwortungsbewusst melden. Eine solche Zusammenarbeit ist unerlässlich, um die Sicherheit, Zuverlässigkeit und Vertrauenswürdigkeit unserer Produkte und Dienstleistungen kontinuierlich zu verbessern.

Ich habe die Informationen zum Datenschutz gelesen und akzeptiere sie.
CAPTCHA image

Dies hilft uns, Spam zu verhindern, vielen Dank.

Diese Website ist auf wpml.org als Entwicklungsseite registriert. Wechseln Sie zu einem Produktions-Website-Schlüssel, um remove this banner.