Rieter Vulnerability Disclosure Policy (VDP)

Rieter anerkennt die wichtige Rolle unabhängiger Sicherheitsfachleute, die in guter Absicht handeln, um uns bei der Aufrechterhaltung der Sicherheit der Websites von Rieter und seinen Tochtergesellschaften zu helfen. Rieter begrüsst die verantwortungsvolle Meldung von Sicherheitslücken, die auf Rieter-Websites gefunden wurden.

Wir bitten Sie, Informationen über Sicherheitsprobleme auf verantwortungsvolle Art und Weise und in Übereinstimmung mit dieser Richtlinie weiterzugeben. Bitte lesen Sie die folgende Richtlinie sorgfältig durch, bevor Sie eine Sicherheitslücke testen und/oder melden, und stellen Sie sicher, dass Sie die Regeln befolgen.

Geltungsbereich dieser Richtlinie

Alle öffentlich zugänglichen Websites von Rieter, die standardmässig erreichbar sind, fallen in den Geltungsbereich dieser Richtlinie. 
Dies schliesst ausdrücklich die folgenden Domains ein:

rieter.com
accotex.com
bracker.ch
graf-companies.com
novibra.com
ssm.ch 
suessen.com
temco.de

Was Rieter von unabhängigen Sicherheitsfachleuten erwartet, die Schwachstellen entdecken und melden

  • Melden Sie Probleme so schnell wie möglich über das Formular zur Offenlegung von Sicherheitslücken auf der GObugfree Platform.
  • Geben Sie gültige Kontaktinformationen an.
  • Reagieren Sie, wenn wir eine Frage an Sie haben.
  • Fügen Sie so viele Informationen wie möglich in Ihren Bericht ein, um uns zu helfen, das Problem zu rekonstruieren (für Details, siehe „Wie melde ich eine Schwachstelle“ unten)
  • Verwenden Sie Schwachstellen nur in dem Umfang, der für die Meldung erforderlich ist. Verwenden Sie Schwachstellen nicht für andere Zwecke.
  • Verletzen Sie nicht die Privatsphäre anderer oder stören Sie unsere Systeme nicht. Zerstören Sie keine Daten und beeinträchtigen Sie nicht die Benutzererfahrung.
  • Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für die Sie die überprüfbare ausdrückliche Genehmigung des jeweiligen Kontoinhabers haben.
  • Besprechen Sie die von Ihnen entdeckte Sicherheitslücke mit niemandem ausser dem betroffenen Anbieter, dem jeweiligen Systembesitzer und Rieter während des Offenlegungsprozesses.
  • Führen Sie keine Aktionen durch, die Rieter oder seine Kunden negativ beeinflussen könnten, wie z.B. Denial of Service oder Spam.
  • Installieren Sie keine Malware oder Viren.
  • Führen Sie keine Angriffe durch, die sich negativ auf die Leistung der Systeme von Rieter auswirken, wie z.B. Brute-Forcing jeglicher Art, Fuzzing, usw. ohne jegliche Drosselung.
  • Greifen Sie nicht auf nicht-öffentliche Anwendungen und Systeme zu, z.B. über Lateral Movement.
  • Stehlen, zerstören oder beschädigen Sie keine Daten oder Informationen von Rieter und versuchen Sie nicht, diese zu stehlen, zu zerstören oder zu beschädigen.
  • Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.

Was Melder vom VDP-Programm von Rieter erwarten können

  • Rieter behandelt die Meldungen vertraulich und gibt die persönlichen Daten der meldenden Parteien oder der empfangenden Organisation nicht ohne deren Zustimmung weiter.
  • Sie erhalten innerhalb von 5 Arbeitstagen nach der Meldung des Problems eine Empfangsbestätigung. Rieter wird die Meldung innerhalb von 10 Werktagen prüfen.
  • Sofern Sie Ihr Einverständnis gegeben haben, werden wir Sie namentlich als Melder einer Schwachstelle nennen.
  • Wenn immer möglich, wird Rieter Sie als Melder über die Entwicklungen und die Behebung der Schwachstelle auf dem Laufenden halten.

Rieter wird keine rechtlichen Schritte gegen Personen einleiten, die in gutem Glauben und ohne Schaden zu verursachen Schwachstellen im Rahmen dieser Richtlinie melden.

Das VDP-Programm von Rieter bietet derzeit keine Entschädigung für Melder an.

Eine Schwachstelle melden

Melden Sie alle Details einer identifizierten oder vermuteten Sicherheitslücke über die GObugfree-Plattform. Bitte fügen Sie detaillierte Informationen mit Schritten bei, die es uns ermöglichen, die Schwachstelle zu reproduzieren, wie z.B.:

  • Technische Beschreibung
  • Beispielcode zur Demonstration der Sicherheitslücke und/oder detaillierte Schritte zur Reproduktion
  • Verwendete Tools oder Skripte
  • Bedrohung/Risikoeinschätzung
  • Datum und Uhrzeit der Entdeckung
  • Ihre Kontaktinformationen
XS
SM
MD
LG
XLG