bn-its Richtlinie zur verantwortungsvollen Offenlegung von Sicherheitslücken

Die Sicherheit unserer Produkte und Dienstleistungen hat für BN-its einen hohen Stellenwert. Trotz sorgfältiger Entwicklung und regelmäßiger Prüfungen können Sicherheitslücken niemals vollständig ausgeschlossen werden. Daher begrüßen wir Hinweise aus der Sicherheitscommunity und arbeiten eng mit externen Forschern, Partnern und Kunden zusammen, um mögliche Schwachstellen schnell zu identifizieren und zu beheben.

Wenn Sie eine Sicherheitslücke in einem Produkt oder einer Dienstleistung von BN-its entdecken, bitten wir Sie, uns diese verantwortungsvoll zu melden. Unser Team prüft eingehende Meldungen sorgfältig und koordiniert die weiteren Schritte gemeinsam mit den zuständigen Entwicklungsteams. Dazu gehört die Analyse der gemeldeten Schwachstelle, die Planung geeigneter Gegenmaßnahmen sowie eine transparente Kommunikation mit der meldenden Person während des gesamten Prozesses.

Geltungsbereich

Diese Richtlinie gilt für alle unter der Marke bn-its vertriebenen Produkte und Dienstleistungen. Weiterführende Informationen zu einzelnen Produkten, deren Funktionsumfang sowie den jeweiligen CE-Konformitätserklärungen finden Sie in den produktspezifischen Handbüchern und Dokumentationen auf unserer Website.

Meldungen zu Produkten oder Systemen, die nicht von bn-its entwickelt oder vertrieben werden, können wir leider nicht bearbeiten. Wir empfehlen in diesen Fällen, den jeweiligen Hersteller direkt zu kontaktieren.

Sicherheitslücken melden

Bitte senden Sie Ihre Meldung an: vulnerability@bn-its.de

Meldungen können auf Wunsch auch anonym erfolgen. Um eine zügige Bearbeitung zu ermöglichen, bitten wir um folgende Angaben, soweit verfügbar:

• Betroffenes Produkt oder betroffene Dienstleistung
• Beschreibung der Schwachstelle und möglicher Auswirkungen
• Schritte zur Reproduktion des Problems
• Ggf. verwendete Werkzeuge, Testumgebung oder Nachweise (Screenshots, Logs)

Jede Person oder Organisation kann potenzielle Sicherheitslücken melden – unabhängig davon, ob ein Servicevertrag besteht oder ob sich das betroffene Produkt im aktiven Lebenszyklus befindet. Wir begrüßen Hinweise von unabhängigen Sicherheitsforschern, Kunden und Partnern, Branchenorganisationen, CERTs sowie anderen verantwortungsvollen Quellen.

Zusammenarbeit und Kommunikation

Nach Eingang einer Meldung bemühen wir uns um eine schnelle Bearbeitung und transparente Kommunikation. bn-its und die beteiligten Entwicklungsteams werden sich nach besten Kräften bemühen:

• den Eingang der Meldung innerhalb von zwei Werktagen zu bestätigen,
• die gemeldete Schwachstelle zu analysieren und zu bewerten,
• einen ungefähren Zeitrahmen für mögliche Maßnahmen zu kommunizieren,
• den Meldenden zu informieren, sobald eine Behebung oder Lösung umgesetzt wurde.

Die Reaktionszeit für eine Eingangsbestätigung beträgt bis zu zwei Werktage. Wochenenden sowie gesetzliche Feiertage im Bundesland Bayern sind davon ausgenommen. Während der Bearbeitung informieren wir den Meldenden regelmäßig über den Fortschritt, sofern relevante neue Informationen vorliegen.

Koordinierte Offenlegung (Coordinated Vulnerability Disclosure)

bn-its unterstützt das Prinzip der koordinierten Offenlegung. Wir bitten daher darum, gefundene Schwachstellen vertraulich zu behandeln, bis eine geeignete Lösung bereitgestellt wurde oder bis 120 Tage nach der ersten Meldung vergangen sind — je nachdem, was früher eintritt. Als kleines Team benötigen wir diesen Zeitraum, um gemeldete Schwachstellen sorgfältig zu analysieren, Maßnahmen zu entwickeln und in unsere Produkte einzupflegen.

Eine frühzeitige öffentliche Veröffentlichung vor Ablauf dieser Frist kann unnötige Risiken für unsere Kunden und Systeme darstellen. Sollte ein Meldender beabsichtigen, eine Schwachstelle nach Ablauf der 120-Tage-Frist zu veröffentlichen, bitten wir um eine vorherige Abstimmung mit unserem Team.

Bei bestätigten Schwachstellen mit erheblicher Relevanz koordinieren wir die Vergabe einer CVE-Kennung über das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige CVE Numbering Authority (CNA) und veröffentlichen bei Bedarf ein entsprechendes Security Advisory. Schwerwiegende Schwachstellen sowie sicherheitsrelevante Vorfälle melden wir gemäß den Anforderungen des Cyber Resilience Act (CRA) an das BSI, das diese Informationen an die ENISA weiterleitet.

Erwartungen an Meldende

Um eine verantwortungsvolle Behandlung von Sicherheitslücken sicherzustellen, bitten wir Meldende:

• die gemeldete Schwachstelle nicht öffentlich zu machen oder an Dritte weiterzugeben, solange sie nicht behoben wurde oder die 120-Tage-Frist nicht abgelaufen ist,
• keine Handlungen vorzunehmen, die zu Schäden an Systemen, Daten oder Diensten führen könnten,
• die Privatsphäre und Sicherheit unserer Kunden jederzeit zu respektieren,
• keine Aktivitäten durchzuführen, die gegen geltendes Recht verstoßen.

bn-its wird keine rechtlichen Schritte gegen Personen einleiten, die Sicherheitslücken in gutem Glauben melden, sofern sie sich an die Grundsätze dieser Richtlinie halten und verantwortungsvoll handeln.

Wir wissen das Engagement von Sicherheitsforschern und Hinweisgebern sehr zu schätzen. Ihre Unterstützung hilft uns dabei, die Sicherheit unserer Systeme kontinuierlich zu verbessern und unsere Kunden bestmöglich zu schützen.

Vielen Dank für Ihren Beitrag zur Sicherheit unserer Produkte und der Internet-Community.

bn-its Team