Kombination löschen
Aktive Kombination
Zurück zum Konfigurator

Nanotec Vulnerability Disclosure Policy

Einleitung

Die Nanotec Electronic GmbH & Co. KG begrüßt Hinweise von Sicherheitsforschenden und aus der Öffentlichkeit, die zur Verbesserung der Sicherheit unserer Systeme beitragen. Wenn Sie der Ansicht sind, in einem unserer Assets eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder ein anderes sicherheitsrelevantes Problem entdeckt zu haben, informieren Sie uns bitte.

Geltungsbereich

Diese Richtlinie gilt für digitale Assets, die sich im Eigentum der Nanotec Electronic GmbH & Co. KG befinden, von ihr betrieben oder verwaltet werden, beispielsweise Plug & Drive Studio, NanoLib und Controller-Firmware.

Außerhalb des Geltungsbereichs

Assets, Systeme oder Geräte, die nicht Nanotec gehören oder nicht von Nanotec betrieben werden, fallen nicht unter diese Richtlinie. Hinweise zu Schwachstellen in Systemen Dritter sollten an den jeweiligen Anbieter oder die zuständige Stelle gemeldet werden.

Unsere Zusagen

  • Wir prüfen Ihre Meldung zeitnah und arbeiten mit Ihnen zusammen, um sie nachzuvollziehen und zu bewerten.
  • Wir bemühen uns, Sie über den Bearbeitungsstand informiert zu halten.
  • Wir arbeiten daran, bestätigte Schwachstellen im Rahmen unserer betrieblichen Möglichkeiten angemessen zu beheben.
  • Für Sicherheitsforschung, die im Einklang mit dieser Richtlinie erfolgt, wenden wir die Safe-Harbor-Regelung an.

Unsere Erwartungen

  • Beachten Sie diese Richtlinie sowie sonstige anwendbare Vereinbarungen.
  • Melden Sie entdeckte Schwachstellen möglichst zeitnah und mit ausreichenden Informationen für eine Prüfung und Einordnung.
  • Unterlassen Sie Eingriffe in die Privatsphäre Dritter, Störungen unserer Systeme, Datenveränderungen oder Beeinträchtigungen der Nutzererfahrung.
  • Nutzen Sie für sicherheitsrelevante Hinweise ausschließlich den offiziellen Meldeweg.
  • Geben Sie uns vor einer öffentlichen Offenlegung eine angemessene Frist zur Behebung, in der Regel mindestens 90 Tage ab Erstmeldung.
  • Testen Sie nur Systeme im Geltungsbereich und respektieren Sie Systeme und Aktivitäten außerhalb des Geltungsbereichs.
  • Falls Sie unbeabsichtigt Zugriff auf Daten erhalten, beschränken Sie sich auf das für den Nachweis unbedingt erforderliche Maß und beenden Sie die Tests sofort, wenn personenbezogene, vertrauliche, medizinische, Zahlungs- oder andere sensible Daten betroffen sind.
  • Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für deren Nutzung Sie ausdrücklich berechtigt sind.
  • Unterlassen Sie insbesondere DDoS-Angriffe, Brute-Force-Angriffe, Social Engineering, Spam, Bot-Aktivitäten oder Massenregistrierungen gegen unsere Systeme oder Nutzer.

Nicht berücksichtigungsfähige Meldungen

Die folgenden Punkte gelten in der Regel nicht als valide Schwachstellenmeldung:

  • Login- oder Passwortprobleme ohne nachweisbare Sicherheitslücke
  • Rechtschreibfehler, rein kosmetische Mängel oder HTTP-404-Seiten
  • Spam, vermutete Betrugsaktivitäten, Bots oder Massenregistrierungen ohne konkrete technische Schwachstelle
  • Der Einsatz einer öffentlich als verwundbar oder nicht mehr sicher bekannten Bibliothek ohne Nachweis einer tatsächlichen Ausnutzbarkeit in unserer Umgebung
  • Meldungen, die ausschließlich auf automatisierten Tools oder Scans beruhen, ohne ausreichende Erläuterung, Validierung und klar erkennbare Sicherheitsauswirkung

Offizieller Meldeweg

Bitte melden Sie sicherheitsrelevante Hinweise an die folgende E-Mail-Adresse. Je präziser und vollständiger Ihre Angaben sind, desto schneller können wir den Sachverhalt prüfen und bewerten.

[email protected]

Damit wir Ihre Meldung effizient bearbeiten können, geben Sie nach Möglichkeit bitte Folgendes an:

  • die betroffene Webseite, URL, das betroffene System oder Produkt
  • eine kurze Beschreibung der Art der Schwachstelle, zum Beispiel „XSS“ oder „SQL Injection“
  • klare Reproduktionsschritte mit einem harmlosen, nicht-destruktiven Proof of Concept
  • relevante technische Zusatzinformationen, z. B. Parameter, betroffene Versionen, Request-Beispiele oder bei Bedarf Screenshots

Safe Harbor

Wenn Sie im Einklang mit dieser Richtlinie handeln, betrachtet Nanotec Ihre Sicherheitsforschung im Rahmen der anwendbaren Regelungen als zulässig und wird wegen versehentlicher Verstöße im Zusammenhang mit einer verantwortungsvollen Meldung keine rechtlichen Schritte gegen Sie einleiten oder unterstützen.

Soweit Nutzungsbedingungen oder Regelungen zur zulässigen Nutzung einer Sicherheitsprüfung nach dieser Richtlinie entgegenstehen würden, verzichten wir insoweit in begrenztem Umfang auf deren Anwendung.

Unabhängig davon sind Sie weiterhin verpflichtet, die geltenden Gesetze einzuhalten. Sollte ein Dritter rechtliche Schritte einleiten und Sie diese Richtlinie eingehalten haben, werden wir darauf hinweisen, dass Ihr Handeln im Einklang mit dieser Richtlinie stand.

Wenn Sie unsicher sind, ob geplante Tests mit dieser Richtlinie vereinbar sind, kontaktieren Sie uns bitte vorab über den offiziellen Meldeweg. Die Safe-Harbor-Regelung gilt nur für Ansprüche, die im Einflussbereich von Nanotec liegen, und bindet keine unabhängigen Dritten.