Bitte verwenden Sie diese Seite, um potenzielle Sicherheitslücken in Produkten und Software zu melden. Weitere Informationen zur Offenlegung von Sicherheitslücken finden Sie in den folgenden Richtlinien.
Richtlinie zur Offenlegung von Sicherheitslücken
Zumtobel ist ein Anbieter von integrierten Beleuchtungslösungen für professionelle Innen- und Außenbeleuchtung und bietet ein umfassendes Sortiment an hochwertigen Leuchten, Lichtsteuerungssystemen und Mehrzwecksensoren für verschiedene Anwendungen in der professionellen Beleuchtung. Als Hersteller von technologisch ausgeklügelten Steuerungssystemen und Software ist Sicherheit ebenfalls ein zentraler Wert von Zumtobel. Daher verpflichtet sich Zumtobel, die Sicherheit der Nutzer von Zumtobel-Produkten und -Software zu gewährleisten, indem deren Privatsphäre und Daten geschützt werden.
Da Zumtobel den Beitrag externer Sicherheitsforscher schätzt, die in gutem Glauben handeln, um Zumtobel dabei zu helfen, einen hohen Standard des Datenschutzes für unsere Nutzer und Systeme aufrechtzuerhalten, soll diese Richtlinie Sicherheitsforschern klare Anweisung für die Durchführung von Aktivitäten zur Offenlegung von Schwachstellen bieten und unsere Präferenzen bei der Meldung entdeckter Schwachstellen an uns kommunizieren.
Wir ermutigen Sie nachdrücklich, uns zu kontaktieren, um potenzielle Sicherheitslücken in Produkten und Software zu melden.
Wenn Sie sich bei Ihrer Sicherheitsforschung nach bestem Wissen und Gewissen an diese Richtlinie halten, wird Zumtobel dies verantwortungsvoll behandeln und mit der meldenden Person der Schwachstelle zusammenarbeiten, um das Problem zu verstehen und letztlich zu beheben.
Im Rahmen dieser Richtlinie bedeutet „Forschung“ Aktivitäten, bei denen du:
Benachrichtigen Sie uns so schnell wie möglich, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben.
Bemühen Sie sich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigungen des Nutzererlebnisses, Störungen der Produktionssysteme und die Zerstörung oder Manipulation von Daten zu vermeiden.
Verwenden Sie Exploits nur in dem Maße, wie es erforderlich ist, um das Vorhandensein einer Schwachstelle zu bestätigen. Verwenden Sie keinen Exploit, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften Befehlszeilenzugriff einzurichten, und nutzen Sie den Exploit nicht, um auf andere Systeme zuzugreifen.
Sobald Sie festgestellt haben, dass eine Sicherheitslücke vorliegt oder auf sensible Daten (einschließlich personenbezogener Informationen, finanzieller Informationen oder vertraulicher Informationen oder Geschäftsgeheimnisse einer Partei) gestoßen sind, müssen Sie Ihren Test sofort abbrechen, uns umgehend benachrichtigen. Sie dürfen diese Daten nicht an andere Personen weitergeben.
Diese Richtlinie gilt für die folgenden Systeme und Dienste: Zumtobel-Produkte, zugehörige Firmware und produktbezogene Software.
Eine Sicherheitslücke melden
Informationen, die im Rahmen dieser Richtlinie übermittelt werden, werden ausschließlich für defensive Zwecken verwendet – um Schwachstellen zu mindern oder zu beheben. Sollten Ihre Erkenntnisse Schwachstellen aufzeigen, die alle Nutzer eines Produkts oder Dienstes betreffen und nicht nur Zumtobel, können wir Ihren Bericht mit anonymisierten Informationen ohne ausdrückliche Genehmigung an betroffene Parteien wie Lieferanten, Kooperationspartner, Händler und Kunden weiterleiten.
Wir akzeptieren Schwachstellenberichte per E-Mail an product-security(at)zumtobelgroup.com. Anftragen, die sich nicht auf Schwachstellen in unseren Produkten, Firmware oder produktbezogene Software beziehen, werden nicht bearbeitet.
Meldungen können anonym erfolgen.
Um uns bei der Sichtung und Priorisierung von Einreichungen zu unterstützen, empfehlen wir, dass Ihr Bericht:
Wenn möglich auf Englisch erfolgt
Eine Beschreibung des Problems beinhaltet
Die Artikelnummer des betreffenden Produkts enthält
Das Herstellungsdatums des Produkts angibt (falls zutreffend)
Die Softwareversion nennt (falls zutreffend)
Den Ort, an dem die Schwachstelle oder das Sicherheitsproblem entdeckt wurde beschreibt, sowie der möglichen Auswirkungen der Ausnutzung
Eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Sicherheitslücke erforderlich sind bescheibt (Proof-of-Concept-Skripte oder Screenshots sind hilfreich)
Enthält was Sie von uns erwarten können / Antwortzeiten
Ihre Kontaktdaten beinhaltet, sodass wir uns verpflichten können, so offen und schnell wie möglich mit Ihnen zu kommunizieren.
Wir werden Ihnen innerhalb von 5 Werktagen außer samstags bestätigen, dass Ihre Meldung eingegangen ist.
Nachdem wir über einen Verstoß gegen die Richtlinien informiert wurden, werden wir dir alle 20 Kalendertage ein Status-Update geben, bis die gemeldeten Sicherheitsprobleme behoben sind.