Bitte verwende diese Seite, um potenzielle Sicherheitslücken in Produkten und Software zu melden. Weitere Informationen zur Offenlegung von Sicherheitslücken findest du in den folgenden Richtlinien.
Richtlinie zur Offenlegung von Sicherheitslücken
THORN ist ein Anbieter von integrierten Beleuchtungslösungen für professionelle Innen- und Außenbeleuchtung und bietet ein umfassendes Sortiment an hochwertigen Leuchten, Lichtsteuerungssystemen und Mehrzwecksensoren für verschiedene Anwendungen in der professionellen Beleuchtung. Als Hersteller von technologisch ausgeklügelten Steuerungssystemen und Software ist Sicherheit ebenfalls ein zentraler Wert von THORN. Daher verpflichtet sich THORN, die Sicherheit der Nutzer von THORN-Produkten und -Software zu gewährleisten, indem deren Privatsphäre und Daten geschützt werden.
Da THORN den Beitrag externer Sicherheitsforscher schätzt, die in gutem Glauben handeln, um THORN dabei zu helfen, einen hohen Standard des Datenschutzes für unsere Nutzer und Systeme aufrechtzuerhalten, soll diese Richtlinie Sicherheitsforschern klare Anweisung für die Durchführung von Aktivitäten zur Offenlegung von Schwachstellen bieten und unsere Präferenzen bei der Meldung entdeckter Schwachstellen an uns kommunizieren.
Wir ermutigen dich nachdrücklich, uns zu kontaktieren, um potenzielle Sicherheitslücken in Produkten und Software zu melden.
Wenn du dich in gutem Glauben bemühst, diese Richtlinie während deiner Sicherheitsforschung einzuhalten, wird THORN dies verantwortungsbewusst behandeln und mit dem Meldenden der Sicherheitslücke zusammenarbeiten, um das Problem zu verstehen und letztendlich zu lösen.
Im Rahmen dieser Richtlinie bedeutet „Forschung“ Aktivitäten, bei denen du:
Benachrichtige uns so schnell wie möglich, wenn du ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt hast.
Bemühe dich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigungen des Nutzererlebnisses, Störungen der Produktionssysteme und die Zerstörung oder Manipulation von Daten zu vermeiden.
Verwende Exploits nur in dem Maße, wie es erforderlich ist, um das Vorhandensein einer Schwachstelle zu bestätigen. Verwende keinen Exploit, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften Befehlszeilenzugriff einzurichten, und nutze den Exploit nicht, um auf andere Systeme zuzugreifen.
Sobald du festgestellt hast, dass eine Sicherheitslücke vorliegt oder auf sensible Daten (einschließlich personenbezogener Informationen, finanzieller Informationen oder vertraulicher Informationen oder Geschäftsgeheimnisse einer Partei) gestoßen bist, musst du deinen Test sofort abbrechen, uns umgehend benachrichtigen. Du darfst diese Daten nicht an andere Personen weitergeben.
Diese Richtlinie gilt für die folgenden Systeme und Dienste: THORN-Produkte, zugehörige Firmware und produktbezogene Software.
Eine Sicherheitslücke melden
Informationen, die im Rahmen dieser Richtlinie übermittelt werden, werden ausschließlich für defensive Zwecken verwendet – um Schwachstellen zu mindern oder zu beheben. Sollten deine Erkenntnisse Schwachstellen aufzeigen, die alle Nutzer eines Produkts oder Dienstes betreffen und nicht nur THORN, können wir deinen Bericht mit anonymisierten Informationen ohne ausdrückliche Genehmigung an betroffene Parteien wie Lieferanten, Kooperationspartner, Händler und Kunden weiterleiten.
Wir akzeptieren Schwachstellenberichte per E-Mail an [email protected]. Einsendungen, die sich nicht auf Schwachstellen in unseren Produkten, Firmware oder produktbezogene Software beziehen, werden nicht bearbeitet. Meldungen können anonym erfolgen.
Berichterstattungsregeln
Um uns bei der Sichtung und Priorisierung von Einreichungen zu unterstützen, empfehlen wir, dass dein Bericht:
Wenn möglich auf Englisch erfolgt
Eine Beschreibung des Problems beinhaltet
Die Artikelnummer des betreffenden Produkts enthält
Das Herstellungsdatums des Produkts angibt (falls zutreffend)
Die Softwareversion nennt (falls zutreffend)
Den Ort, an dem die Schwachstelle oder das Sicherheitsproblem entdeckt wurde beschreibt, sowie der möglichen Auswirkungen der Ausnutzung
Eine detaillierte Beschreibung der Schritte, die zur Reproduktion der Sicherheitslücke erforderlich sind bescheibt (Proof-of-Concept-Skripte oder Screenshots sind hilfreich)
Enthält was du von uns erwarten kannst / Antwortzeiten
Deine Kontaktdaten beinhaltet, sodass wir uns verpflichten können, so offen und schnell wie möglich mit dir zu kommunizieren.
Wir werden dir innerhalb von 5 Werktagen außer samstags bestätigen, dass deine Meldung eingegangen ist.
Nachdem wir über einen Verstoß gegen die Richtlinien informiert wurden, werden wir dir alle 20 Kalendertage ein Status-Update geben, bis die gemeldeten Sicherheitsprobleme behoben sind.