Produkte
Industries
IoT
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IOT Software und Services. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IoT Systeme. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich IoT Module und Boards. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen im Bereich Ethernet TSN Switching. Kontaktieren Sie uns jederzeit bei Fragen.
Support & Services
Kontakt
Brauchen Sie Hilfe? Dann kontaktieren Sie unser Support Team:
Support kontaktieren
Kontakt
Brauchen Sie Hilfe? Dann kontaktieren Sie unser Support Team:
Support kontaktieren
Downloads
Hier finden Sie alle Whitepaper, Use Cases, Broschüren und Artikel zu unseren Produkten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Anwenderberichten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie alle detaillierte und spezifische Infos zu unseren Produkten und Lösungen in unseren Whitepapers. Kontaktieren Sie uns jederzeit bei Fragen.
Hier finden Sie alle Whitepaper, Use Cases, Broschüren und Artikel zu unseren Produkten. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Webcasts. Kontaktieren Sie uns jederzeit bei Fragen.
Erfahren Sie mehr über unsere Produkte und Lösungen in unseren Anwenderberichten. Kontaktieren Sie uns jederzeit bei Fragen.
Über Kontron
Richtlinie zur Offenlegung von Schwachstellen
Unsere Richtlinie für die Annahme von Berichten über Sicherheitslücken in unseren Produkten
Kontron ist bestrebt, die Sicherheit seiner Kunden zu gewährleisten. Wir hoffen auf eine offene Partnerschaft mit der Sicherheitsgemeinschaft und erkennen an, dass die Arbeit der Gemeinschaft wichtig ist, um die Sicherheit für alle zu gewährleisten.
Wir haben diese Richtlinie für Sicherheitslücken entwickelt, um unsere Unternehmenswerte widerzuspiegeln und unsere rechtliche Verantwortung gegenüber gutgläubigen Sicherheitsforschern, die uns ihr Fachwissen zur Verfügung stellen, zu wahren.
Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Sicherheitslücken, die Sie uns (der "Organisation") zu melden gedenken. Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Sicherheitslücken vollständig zu lesen, bevor Sie eine Sicherheitslücke melden, und sie stets zu befolgen. Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine finanziellen Belohnungen für die Meldung von Sicherheitslücken an.
Web-/Infrastruktur-Sicherheitsschwachstellen
Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie uns bitte Ihren Bericht per E-Mail an: security@kontron.com
Geben Sie in Ihrem Bericht bitte folgende Details an:
- Die Website, IP oder Seite, auf der die Schwachstelle beobachtet werden kann.
- Eine kurze Beschreibung der Art der Sicherheitslücke, zum Beispiel: "XSS-Schwachstelle".
-
Schritte zur Reproduktion. Dabei sollte es sich um einen harmlosen, nicht zerstörerischen Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und genau bearbeitet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder die böswillige Ausnutzung einiger Schwachstellen, wie z. B. die Übernahme von Subdomains.
Sicherheitsschwachstellen in Produkten
Wenn Sie glauben, eine neue Sicherheitslücke in einem Kontron-Produkt gefunden zu haben, senden Sie uns bitte Ihren Bericht per EMAIL an psirt@kontron.com - oder über das Kontron-Ticketing-Portal, falls Sie dort ein Konto haben.
Bitte senden Sie Informationen nur in englischer Sprache.
Bitte geben Sie in Ihrem Bericht folgende Details an
- Produktname und Produktversion
- Beschreibung der Schwachstelle und deren Auswirkungen
- Voraussetzungen (Konfiguration, Szenario, ...), die zur Reproduktion des Problems erforderlich sind
- Detaillierte Schritt-für-Schritt-Anweisungen zur Reproduktion des Problems
-
Proof-of-Concept-Code, falls verfügbar
Registrierte Kontron-Kunden können unter https://customersection.kontron.com/security-vulnerabilites nach bekannten Sicherheitslücken, von Kontron erstellten Sicherheitshinweisen und einer Übersicht über betroffene Kontron-Produkte und die Verfügbarkeit von Fixes suchen.
Was Sie erwarten können
Nachdem Sie Ihre Meldung eingereicht haben, werden wir sie innerhalb von 5 Arbeitstagen beantworten und uns bemühen, Ihre Meldung innerhalb von 10 Arbeitstagen zu bearbeiten. Wir werden Sie außerdem über unsere Fortschritte auf dem Laufenden halten. Die Priorität der Abhilfemaßnahmen wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle beurteilt.
Die Sichtung und Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Sie können sich gerne nach dem Stand der Dinge erkundigen, sollten dies aber nicht öfter als einmal alle 14 Tage tun. So können sich unsere Teams auf die Behebung der Schwachstelle konzentrieren. Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist, und Sie können aufgefordert werden, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.
Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen, Ihren Bericht zu veröffentlichen. Wir möchten die Hinweise für die betroffenen Benutzer vereinheitlichen. Bitte koordinieren Sie daher die Veröffentlichung weiterhin mit uns.
Leitfaden
Sie haben folgende Pflichten:
- Halten Sie stets die Datenschutzbestimmungen ein und verletzen Sie nicht die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme der Organisation. Sie dürfen z. B. Daten, die Sie aus den Systemen oder Diensten abgerufen haben, nicht weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
- Sie müssen alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzrecht vorschreibt).
Sie dürfen NICHT:
- Gegen geltende Gesetze oder Vorschriften verstoßen.
- Auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen.
- Daten in den Systemen oder Diensten der Organisation ändern.
- Invasive oder zerstörerische Scan-Tools mit hoher Intensität verwenden, um Schwachstellen zu finden.
- Jede Form der Dienstverweigerung (Denial of Service) zu versuchen oder zu melden, z. B. einen Dienst mit einer hohen Anzahl von Anfragen überlasten.
- Die Dienste oder Systeme der Organisation stören.
- Berichte über nicht ausnutzbare Schwachstellen oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header, einreichen.
- Die Mitarbeiter oder die Infrastruktur der Organisation durch Social Engineering, "Phishing" oder physische Angriffe angreifen
-
Eine finanzielle Entschädigung für die Offenlegung von Schwachstellen verlangen.
Rechtliche Hinweise
Wir haben diese Richtlinie so gestaltet, dass sie mit der gängigen Praxis der Offenlegung von Sicherheitslücken vereinbar ist. Sie geben Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.
Fragen
Senden Sie alle Fragen zu dieser Richtlinie an security@kontron.com. Wir laden Sie auch ein, sich mit Vorschlägen zur Verbesserung dieser Richtlinien an uns zu wenden.
