Coordinated Vulnerability Disclosure Policy der Voith Group
Unsere Sicherheitspolitik
Voith betreibt ein mehrschichtiges Sicherheitskonzept, um die IT-Sicherheit und den Datenschutz in allen unseren Produkten und Systemen zu gewährleisten. Dieses Sicherheitskonzept wird u.a. durch unsere Zertifizierungen, z.B. ISO 27001, regelmäßig überprüft.
Sollten Sie dennoch Sicherheitsprobleme oder Schwachstellen in unseren Anwendungen oder Systemen entdecken, informieren Sie uns bitte. Wir werden umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.How to report a vulnerability
So melden Sie eine Sicherheitslücke
Bitte senden Sie alle relevanten Erkenntnisse per E-Mail an security@voith.com. Sie können diese E-Mail mit unserem PGP-Schlüssel verschlüsseln, um diese sensiblen Informationen vor Dritten zu schützen. Alternativ können Sie uns auch telefonisch unter +49-(0)7321-37-2222 unter dem Stichwort "Coordinated Disclosure" kontaktieren.
Bitte stellen Sie uns ausreichende Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können.
Da es sich um komplexe Sachverhalte handeln kann, die Rückfragen erfordern, bitten wir Sie außerdem, uns eine Kontaktmöglichkeit mitzuteilen.
Wir bitten Sie, die entdeckte Schwachstelle nicht dazu zu nutzen, um bspw. Daten herunterzuladen, zu ändern, zu löschen, ausführen von schadhaftem Code oder Informationen über die Schwachstelle an Dritte weiterzugeben.
Geltungsbereich
In den Geltungsbereich fallen alle Voith- Voith-bezogenen digitalen Dienste. Dazu gehören u.a. alle Inhalte der folgenden Domains:
*.voith.com
*.voith.de
*.voith.net
*.myvoith.com
*.voith.io
Meldungen über Dienste, die nicht im Namen oder unter der Verantwortung von Voith betrieben werden, sind willkommen, gelten aber nicht als Schwachstellen im Sinne des Geltunsgbereichs..
Qualifizierte Schwachstellen
Wir erwarten, dass jede Schwachstelle, die Sie uns melden, ein Angriffsszenario hat.
Alle Probleme, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme und Informationen beeinträchtigen, fallen in den Anwendungsbereich, wie z. B.:
- Fehler bei der Authentifizierung oder Autorisierung,
- Cross-Site-Scripting,
- Fehler bei der serverseitigen Codeausführung
Nicht-qualifizierende Schwachstellen
Wir prüfen jede Meldung auf ihre Auswirkungen, dies bedeutet aber, dass ggf. das von Ihnen gemeldete Problem möglicherweise nicht in den Geltungsbereich fällt, z. B:
- Bekannte Ereignisse: Wir verfahren nach dem Prinzip "Wer zuerst kommt, mahlt zuerst", um Mehrfachmeldungen zu vermeiden. Dazu gehören auch Schwachstellen, die bereits durch interne Sicherheitstools oder Mitarbeiter bekannt sind.
- Verstoß gegen Compliance-Richtlinien: Falls die Suche nach Schwachstellen und die damit verbundene Informationsbeschaffung gegen Gesetze verstößt, wird keine Belohnung ausgezahlt.
- Schwachstellen in "Sandbox"-Bereichen: wenn keine Auswirkungen auf sensible Daten nachgewiesen werden können oder eine äußerst unwahrscheinliche Benutzerinteraktion erforderlich ist.
- Versionsinformationen, die den Dienst nicht für Angriffe anfällig machen und nur als Informationsbeschaffung im Rahmen weiterer potenzieller Exploits betrachtet werden.
- E-Mail-Spoofing (z. B. @voith.com), dies ist als allgemeinen Risiko bekannt.
Was wir versprechen
Wir informieren Sie über den Eingang Ihrer Meldung und halten Sie über die relevanten Ergebnisse der internen Bearbeitung auf dem Laufenden.
Wir werden so schnell wie möglich geeignete Gegenmaßnahmen ergreifen, um die gemeldete Sicherheitslücke zu schließen.
Wir werden Ihre Meldung und die damit verbundenen Informationen streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
Wir werden keine rechtlichen Schritte gegen Sie einleiten. Dies gilt nicht in Fällen von erkennbaren kriminellen oder nachrichtendienstlichen Absichten.
Der Meldende wird nach seinen Fähigkeiten beurteilt und nicht nach persönlichen Aspekten wie Alter, Geschlecht, Herkunft, Bildung oder sozialem Rang.
Diesen Respekt und die Dankbarkeit zeigen wir jedem Reporter, indem wir die geschlossene Schwachstelle in der entsprechenden Dokumentation oder Nachricht des betreffenden Artikels dokumentieren. Wenn Sie möchten, können Sie dies auch unter Angabe Ihres Namens (oder Alias) tun.
Wir haben derzeit kein Bug Bounty Programm. Es besteht ausdrücklich kein Rechtsanspruch auf eine Belohnung. Die Entscheidung hierüber liegt im alleinigen Ermessen von Voith.
gezeichnet,
Voith GmbH & Co. KGaA
PGP Key für sichere Kommunikation
Bitte beachten Sie, dass dieser Schlüssel nicht auf öffentlichen Schlüsselservern veröffentlicht wird, um Spam/Phishing-E-Mails zu vermeiden.