Richtlinie zur Verantwortlichen Offenlegung von Sicherheitslücken
Bei der KUNBUS GmbH legen wir großen Wert auf die Sicherheit unserer Systeme und Daten. Wir erkennen an, dass Sicherheitslücken auftreten können, und schätzen die Unterstützung von Sicherheitsexperten und Forschern, die uns dabei helfen, diese zu identifizieren und zu beheben. Diese Richtlinie zur verantwortlichen Offenlegung beschreibt, wie Sie Sicherheitslücken verantwortungsbewusst melden können und was Sie von uns erwarten können.
1. Geltungsbereich
Diese Richtlinie gilt für alle Produkte und Dienstleistungen der KUNBUS GmbH, einschließlich der Revolution Pi Produktfamilie.
2. Meldeverfahren
Sollten Sie eine Sicherheitslücke entdeckt haben, melden Sie diese bitte wie folgt:
- Senden Sie eine E-Mail an psirt@kunbus.com mit einer detaillierten Beschreibung der Sicherheitslücke.
- Verwenden Sie den folgenden GPG-Schlüssel, um Ihre Nachricht zu verschlüsseln und die Informationen vertraulich zu behandeln: https://psirt.kunbus.com/.well-known/csaf/openpgp/B484B6F71F2CD32BCCDF7C04C0027DE5D2D76A5F.asc
Fingerprint: B484B6F71F2CD32BCCDF7C04C0027DE5D2D76A5F - Fügen Sie alle relevanten Informationen bei, einschließlich Schritte zur Reproduktion der Sicherheitslücke, Screenshots und/oder Code-Ausschnitte.
- Geben Sie Ihre Kontaktdaten an, damit wir Sie bei Rückfragen erreichen können.
Koordinatoren und CNA
Wir bitten Sie höflich, CERT@VDE oder CISA ICS als Koordinatoren und CNAs zu verwenden, falls Sie einen Koordinator einbeziehen oder selbst eine CVE beantragen möchten.
3. Verhaltenskodex
Um sicherzustellen, dass Ihre Meldung verantwortungsbewusst eingereicht wird, befolgen Sie bitte die folgenden Regeln:
- Greifen Sie nicht auf Daten zu, die Ihnen nicht gehören.
- Vermeiden Sie jegliche Handlungen, die die Verfügbarkeit unserer Systeme beeinträchtigen könnten (z.B. Denial-of-Service-Angriffe).
- Teilen Sie Informationen über die Sicherheitslücke nicht mit Dritten, bis wir sie behoben haben.
4. Unsere Verpflichtungen
Wir verpflichten uns, Ihre Meldung wie folgt zu behandeln:
- Wir werden den Erhalt Ihrer Meldung innerhalb von 5 Werktagen bestätigen.
- Wir stellen innerhalb von 10 Werktagen einen geschätzten Zeitplan für die Behebung der Sicherheitslücke zur Verfügung.
- Wir werden die Sicherheitslücke untersuchen und Sie über den Fortschritt und geplante Maßnahmen informieren.
- Wir werden uns bemühen, die Sicherheitslücke so schnell wie möglich zu beheben und Sie über die Lösung zu informieren.
- Wir werden Sie auf Wunsch für die Entdeckung würdigen, sobald die Sicherheitslücke behoben ist.
5. Security Advisories
Die KUNBUS GmbH veröffentlicht Sicherheitshinweise auf ihrer Website unter https://www.kunbus.com/de/security-advisories. Darüber hinaus betreibt KUNBUS einen CSAF-vertrauenswürdigen Anbieter unter https://psirt.kunbus.com/.well-known/csaf/, der auch Rolie-Feeds im JSON-Format bereitstellt.
Wir verwenden CSAF v2.0 als Format für Sicherheitshinweise und folglich CVSS v3.1 und TLPv1. Wir planen, in Zukunft auf CSAF v2.1 umzusteigen.
Weitergaberegeln
KUNBUS-Sicherheitshinweise haben grundsätzlich eine TLPv1-Kennzeichnung. Wir bitten Sie höflich, die TLP-Weitergaberegeln zu beachten. Kurz gesagt bedeutet das: TLP:WHITE kann frei geteilt werden. TLP:GREEN kann innerhalb Ihrer Gemeinschaft geteilt werden. TLP:AMBER soll nur innerhalb Ihrer Organisation oder mit Kunden geteilt werden, um weiteren Schaden nach dem Need-to-know-Prinzip zu verhindern.
Aggregierte Schweregrade
Aggregierter Schweregrad | CVSS v3.1 |
Kritisch | 9,0 – 10,0 |
Hoch | 7,0 – 8,9 |
Mittel | 4,0 – 6,9 |
Niedrig | 0,0 – 3,9 |
6. Rechtliche Hinweise
Wir erkennen Ihre Bemühungen zur verantwortlichen Offenlegung von Sicherheitslücken an und schätzen sie. Solange Ihre Handlungen in gutem Glauben erfolgen und dieser Richtlinie entsprechen, wird die KUNBUS GmbH keine rechtlichen Schritte gegen Sie einleiten. Wir bitten Sie auch darum, potenzielle oder ungelöste Sicherheitslücken nicht gegenüber Dritten offenzulegen, zu teilen oder zu veröffentlichen, solange diese nicht geschlossen sind.
7. Regelmäßige Aktualisierungen
Wir überprüfen und aktualisieren diese Richtlinie mindestens jährlich sowie nach wesentlichen Änderungen oder Sicherheitsvorfällen.
8. Kontakt
Bei Fragen oder für weitere Informationen wenden Sie sich bitte an psirt@kunbus.com.
Stand: 12.06.2025