SECURITY REPORTING UND ADVISORIES FÜR KÄRCHER PRODUKTE UND SERVICES
Offenlegungsgrundsätze
Präambel
Die Alfred Kärcher SE & Co. KG (hier kurz "Kärcher") ist für die IoT-Produkte sowie für das Meldeverfahren nach dieser Richtlinie verantwortlich. Die Alfred Kärcher Vertriebs-GmbH, eine hundertprozentige Tochtergesellschaft von Kärcher, ist nur für das Hosting dieser Berichtshomepage verantwortlich und spielt keine Rolle bei der Bearbeitung von Berichten, die über die Berichtshomepage eingereicht werden.
1. Werte und Prinzipien
Cybersicherheit (hier kurz "Sicherheit") ist für die IoT-Produkte und digitalen Dienste von Kärcher von enormer Bedeutung. Wir verfolgen einen Security-by-Design-Ansatz und verpflichten uns, die Sicherheit unserer IoT-Produkte und digitalen Dienste während ihres gesamten Lebenszyklus zu gewährleisten. Sicherheit ist jedoch ein bewegliches Ziel, und das Umfeld der Sicherheit entwickelt sich kontinuierlich weiter. So können neue Erkenntnisse, Angriffsmöglichkeiten und Schwachstellen jederzeit entdeckt werden. Obwohl wir Sicherheit in unseren Produkten von Anfang an berücksichtigen, können wir keine 100% perfekte Sicherheit erreichen.
Kärcher ist bestrebt, den Sicherheitszustand seiner IoT-Produkte und digitalen Dienste kontinuierlich zu unterstützen und zu verbessern. Deshalb möchte Kärcher eng mit der Cybersicherheits-Gemeinschaft zusammenarbeiten. Wir ermutigen Forscher, Behörden, Geschäftspartner und andere private und öffentliche Akteure uns bezüglich Probleme, Schwachstellen oder möglichen Exploits etc. in unseren IoT-Produkten und digitalen Diensten zu kontaktieren. Derartige Sicherheitsinformationen von Dritten sind ein wertvoller Teil unserer Sicherheitsarchitektur.
2. Melde- und Offenlegungsbedingungen
Kärcher will die Kommunikation mit Informationsbereitstellern und Akteuren der Cybersicherheits-Gemeinschaft so einfach und zugänglich wie möglich gestalten. Die folgenden Punkte sind wichtig, damit wir schnell und effektiv auf Berichte reagieren können:
2.1 Allgemeines:
- Berichte können in Englisch und Deutsch gesendet werden
- Es sind keine Verträge oder Geheimhaltungsvereinbarungen erforderlich
- Berichte müssen sich auf folgendes beziehen:
- ein Kärcher IoT-Produkt, d.h. das Produkt trägt das Kärcher-Logo und verfügt über eine Art von Vernetzung (WLAN, Bluetooth, ZigBee usw.)
- ein digitaler Dienst von Kärcher, der über das Internet verfügbar ist
- Wir empfehlen Reportern, verschlüsselte E-Mail-Kommunikation zu verwenden
- Kärcher wird keine rechtlichen Ansprüche irgendwelcher Art im Zusammenhang mit der Meldung von Schwachstellen usw. im Rahmen dieses Reportings verfolgen, vorausgesetzt:
- Der/die Reporter/in fügt Kärcher und/oder seinen verbundenen Unternehmen, Kunden, Lieferanten oder Partnern keinen Schaden zu
- Der/die Reporter/in beeinträchtigt weder die Privatsphäre oder Sicherheit von Kärcher und/oder seinen verbundenen Unternehmen, Kunden, Lieferanten oder Partnern noch den Betrieb der Dienstleistungen von Kärcher
- Der/die Reporter/in wird seine/ihre Ergebnisse nicht zu veröffentlichen, bis Kärcher in der Lage war, den Fehler/die Schwachstelle zu beheben
- Das Vorgehen des Reporters/der Reporterin verstößt nicht gegen ein Gesetz oder stört oder kompromittiert keine Daten oder vertraulichen Informationen, die nicht seine/ihre eigenen sind
2.2 Erforderliche Inhalte für einen Bericht
- Name des betroffenen IoT-Produkts oder digitalen Dienstes
(vorzugsweise mit Typnamen, Seriennummer oder Domainnamen oder URL) - Kontaktinformationen des Reporters zur weiteren Kommunikation
(identifizierbar oder anonym) - Beschreibung der Auswirkungen, Erkenntnisse oder Schwachstellen
(wenn möglich mit Protokollen, Bildern oder anderem zusätzlichen Material, um den Befund zu reproduzieren) - ID, Kennung oder Kategorie der Schwachstelle bzw. des Reportgegenstands
(wenn möglich basierend auf CWE oder OWASP) - Falls bekannt: Auswirkungen, Abhängigkeiten oder andere Einflüsse des Reportgegenstands
- Wenn bekannt: CVSS3-Score oder eine Schätzen von CVSS-ähnlichen Parameter
(z. B. erforderliche Berechtigungen, erforderliche Benutzerinteraktion, Verfügbarkeit von Angriffstools usw.) - Wenn bekannt: Bekanntheit oder Verbreitung der Schwachstelle oder des Exploits
Hinweis: Wir werden jeden Report analysieren. Je mehr Informationen wir erhalten, desto besser können wir auf den Report reagieren. Wenn wir nicht genügend Informationen erhalten, kann es sein, dass wir den Bericht zurückstellen oder nicht weiterverfolgen.
2.3 Offenlegungsprozess
- Wir sorgen für folgende Prozesse:
- Bestätigung des Eingangs des Berichts innerhalb von 3 Werktagen
- Antwort mit erster Bewertung oder zusätzlicher Frage(n) innerhalb von 10 Werktagen
- Der genaue Zeitpunkt für die Information bezüglich der Reaktion und der Behebung hängt von der Komplexität des individuellen Sachverhaltes ab
- Jeder Reporter wird benachrichtigt, wenn der Befund behoben wurde
Weitere geltende Bestimmungen
Kontaktformular
Um eine schnelle und angemessene Reaktion zu gewährleisten, empfehlen wir die Verwendung unseres Kontaktformulars.