Security Support Center

dormakaba ist sich bewusst, dass Schwachstellen durch verschiedene Methoden aufgedeckt werden. Unabhängig davon, ob Sie ein Kunde, ein Benutzer eines dormakaba Produkts oder einer Lösung oder ein Forschungsexperte sind, sind wir bestrebt, den Offenlegungsprozess gemeinsam mit Ihnen zu gestalten. Um eine effektive Koordination während des gesamten Reaktionsprozesses zu ermöglichen, bitten wir Sie, uns Ihre Ziele, die gewünschten Fristen für die Veröffentlichung und alle Informationen mitzuteilen, die für dormakaba wichtig sind, um alle mit der Offenlegung verbundenen Probleme zu lösen.

Schwachstellenberichte sollten so detailliert sein, dass dormakaba alle potenziellen Schwachstellen replizieren und validieren, die potenziellen Risiken bewerten und die Massnahmen zur Schadensbegrenzung nach Prioritäten ordnen kann. Wann immer möglich, sollten Sie die folgenden Informationen in Ihren Schwachstellenbericht aufnehmen:

• Betroffene(s) Produkt(e) und spezifische(s) Version(en) (falls zutreffend)

• Überblick über die Art und Weise, wie die Schwachstelle entdeckt wurde

• Etwaiger Proof-of-Concept-Code oder -Prozesse

• Beschreibung oder Schätzung der Auswirkungen

• Zeitliche Einschränkungen (z. B. Datum der geplanten Veröffentlichung)

• Alle zusätzlichen Details im Zusammenhang mit dem Fund, die bei der Validierung und Risikobewertung hilfreich sind

Die Bereitstellung der richtigen Informationen kann den entscheidenden Unterschied ausmachen, um eine angemessene Reaktion auf alle Feststellungen zu gewährleisten. Wenn Sie der Meinung sind, dass weitere Details für die Validierung oder Reaktion von dormakaba auf die entsprechende Schwachstelle wichtig sind, geben Sie diese bitte ebenfalls an. Bitte senden Sie Ihren Bericht und alle zugehörigen Informationen per E-Mail an die unten angegebenen Kontaktinformationen. Weitere Informationen zu Best Practices im Zusammenhang mit der Offenlegung von Schwachstellen und der Meldung von Schwachstellen finden Sie in den unten stehenden Ressourcen oder wenden Sie sich an das dormakaba Sicherheitsteam.

Der Zeitrahmen für die Art und den Zeitplan der Offenlegung kann von verschiedenen Faktoren beeinflusst werden, einschließlich, aber nicht beschränkt auf

• Risiken für Kunden und Benutzer, die sich aus der Schwachstelle ergeben,

• Verfügbarkeit von wirksamen Abhilfemaßnahmen und

• Anforderungen durch geltende Gesetze und Vorschriften.

Im Allgemeinen werden Sicherheitslücken von dormakaba bekannt gegeben, sobald Patches oder Abhilfemaßnahmen für die betroffenen Kunden verfügbar sind. Es ist von entscheidender Bedeutung, dass diejenigen, die sich zum Schutz ihrer Mitarbeiter, Einrichtungen oder ihres Eigentums auf die betroffenen Produkte verlassen, ausreichend Zeit haben, um alle Korrekturen anzuwenden und alle Risiken zu minimieren. Wenn es Fristen gibt, die nicht mit der Veröffentlichung von dormakaba verbunden sind (z.B. Konferenztermine, Veröffentlichungen usw.), informieren Sie uns bitte so bald wie möglich, damit dormakaba entsprechend planen kann.

Sicherstellen, dass alle Test- und Forschungsarbeiten die Produktionssysteme nicht beeinträchtigen oder stören. Dies gilt auch für alle Aktivitäten, die sensible Daten im Zusammenhang mit den betroffenen Systemen offenlegen könnten. Bitte stellen Sie sicher, dass alle lokalen Gesetze und Produktbedingungen eingehalten werden und dass Sie sich aller Konsequenzen bewusst sind, die mit dem Sicherheitsforschungsprozess verbunden sind.

Wenn Sie Bedenken bezüglich der möglichen Auswirkungen auf Systeme oder Fragen zu Daten haben, die während der Tests entdeckt wurden, wenden Sie sich bitte an den Sicherheits-Support von dormakaba.