PSIRT · MELDUNGEN WERDEN ENTGEGENGENOMMEN

Eine Sicherheitslücke melden

Das Dewesoft Product Security Incident Response Team (PSIRT) freut sich über Meldungen von Anwendern und Forschern. Wenn Sie glauben, eine Sicherheitslücke auf einer Dewesoft-Website oder in einem Dewesoft-Produkt entdeckt zu haben oder ein Datenschutzproblem festgestellt zu haben, wählen Sie bitte unten den passenden Kanal aus und senden Sie uns die Details.

CH · WEB

Websitesicherheit

psirt@dewesoft.com

CH · PRODUKT

Produktsicherheit

psirt@dewesoft.com

CH · DATEN

Datenschutz

legal@dewesoft.com

ÜBER DIESE SEITE

So melden Sie eine Sicherheitslücke

Das PSIRT von Dewesoft befürwortet die verantwortungsvolle Offenlegung von Sicherheitslücken. Eine koordinierte Meldung hilft uns, Probleme schneller zu beheben, unsere Kunden auf dem Laufenden zu halten und die Sicherheit unserer Software, Geräte und Online-Dienste kontinuierlich zu verbessern.

Bitte lesen Sie die unten aufgeführten Kanäle durch und wählen Sie denjenigen aus, der Ihrem Befund entspricht. Jeder Bericht wird vom PSIRT geprüft und vertraulich behandelt.

Kein Sicherheitsproblem? Allgemeine Fragen zu Qualität, Garantie, Lizenzen oder technischem Support werden nicht vom PSIRT bearbeitet. Bitte nutzen Sie den üblichen Dewesoft-Support und Kontaktmöglichkeiten Stattdessen, damit Ihre Anfrage unverzüglich beim richtigen Team eingeht.

DREI MELDEWEGE

Wohin Sie Ihren Bericht senden sollen

KANAL 01 · WEB

Sicherheitslücken auf Websites

Bei Sicherheitslücken oder Vorfällen, die eine Dewesoft-Website oder einen Online-Dienst betreffen – beispielsweise dewesoft.com, das Support-, Entwickler-, Forum- oder Shop-Portal.

Zu den typischen Befunden zählen Cross-Site-Scripting, Injektionsangriffe, Schwachstellen bei der Authentifizierung oder der Zugriffskontrolle, unsichere Konfigurationen oder offengelegte sensible Daten.

psirt@dewesoft.com

KANAL 02 · PRODUKT

Sicherheitslücken bei Produkten

Für Sicherheitslücken oder Vorfälle in einem Dewesoft-Produkt – einschließlich der Software DewesoftX und DewesoftM, Firmware, APIs und SDKs sowie Datenerfassungshardware wie SIRIUS, KRYPTON, IOLITE, OBSIDIAN und zugehörige Geräte.

Bitte teilen Sie uns das genaue Produkt, das Modell sowie die betroffene Software- oder Firmware-Version mit.

psirt@dewesoft.com

KANAL 03 · DATEN

Datenschutzfragen

Bei Fragen zum Datenschutz und zur Privatsphäre – beispielsweise bei Verdacht auf eine Verletzung des Schutzes personenbezogener Daten, bei einer Offenlegung personenbezogener Daten oder bei Fragen dazu, wie Dewesoft mit Ihren Daten umgeht.

Über diesen Kanal können Sie auch Anträge von betroffenen Personen gemäß den geltenden Datenschutzgesetzen stellen.

legal@dewesoft.com

MACHEN SIE IHREN BERICHT UMSETZBAR

Welche Informationen sind anzugeben?

Bei Sicherheitslücken auf der Website oder bei Produkten gilt: Je detaillierter Ihre Angaben sind, desto schneller können wir das Problem nachstellen und beheben. Bitte geben Sie nach Möglichkeit Folgendes an:

01

Betroffenes Ziel

Das Produkt, das Modell und die Software- oder Firmware-Version – oder die genaue URL einer Sicherheitslücke auf einer Website.

02

Beschreibung & Nachweis

Eine klare Beschreibung der Sicherheitslücke, gegebenenfalls mit Schritten zur Reproduktion, einem Proof-of-Concept, Exploit-Code oder Netzwerkprotokollen.

03

Öffentliche Referenzen

Alle diesbezüglichen Hinweise sowie die Angabe, ob die Angelegenheit bereits öffentlich bekannt gegeben wurde – und von wem.

Möchten Sie große Dateien versenden? Sollten Sie eine große Datenmenge weitergeben müssen, weisen Sie bitte in Ihrer E-Mail darauf hin, damit wir gemeinsam mit Ihnen eine sichere Übertragungsmethode vereinbaren können.

VERANTWORTUNGSBEWUSSTE OFFENLEGUNG

Zusammenarbeit im Geiste des guten Willens

Wir bitten Forscher, sich an diese Grundsätze zu halten, damit wir Probleme untersuchen und beheben können, ohne dabei Nutzer oder Systeme zu gefährden.

Bitte tu das

  • Melden Sie Ihre Feststellungen so bald wie möglich nach deren Entdeckung.

  • Geben Sie uns eine angemessene Frist, um den Sachverhalt zu untersuchen und Abhilfe zu schaffen, bevor die Angelegenheit öffentlich gemacht wird.

  • Geben Sie genügend Details an, damit das Problem nachgestellt werden kann.

  • Handeln Sie nach Treu und Glauben und vermeiden Sie Datenschutzverletzungen oder Betriebsstörungen.

Bitte vermeiden Sie

  • Auf Daten zugreifen, diese ändern oder löschen, die nicht Ihnen gehören.

  • Beeinträchtigung der Dienstverfügbarkeit, z. B. durch Denial-of-Service-Tests.

  • Social Engineering, Phishing oder physische Angriffe auf Mitarbeiter oder Einrichtungen.

  • Das Problem öffentlich bekannt zu machen, bevor wir es gelöst haben.

Wichtige Informationen

01 Berichte, die eingereicht wurden in Englisch kann am schnellsten bearbeitet werden. Bitte beschreiben Sie das Problem so genau wie möglich.

02 Zuvor veröffentlichte Sicherheitslücken und Probleme, die als informativ kommt möglicherweise nicht für eine Anerkennung in Frage.

03 Wir bedanken uns bei den Forschern, die uns dabei helfen, die Sicherheit zu verbessern. Teilen Sie uns in Ihrem Bericht bitte mit, ob und wie Sie namentlich genannt werden möchten.

04 Wir empfehlen dringend, verschlüsselte E-Mail bei vertraulichen Angaben. Wenden Sie sich vor dem Versand an PSIRT, um unseren aktuellen öffentlichen Verschlüsselungsschlüssel anzufordern.