SECURITY REPORTING UND ADVISORIES FÜR KÄRCHER PRODUKTE UND SERVICES

Mitarbeiter am Computer

Offenlegungsgrundsätze

Präambel

Die Alfred Kärcher SE & Co. KG (hier kurz "Kärcher") ist für die IoT-Produkte sowie für das Meldeverfahren nach dieser Richtlinie verantwortlich. Die Alfred Kärcher Vertriebs-GmbH, eine hundertprozentige Tochtergesellschaft von Kärcher, ist nur für das Hosting dieser Berichtshomepage verantwortlich und spielt keine Rolle bei der Bearbeitung von Berichten, die über die Berichtshomepage eingereicht werden.

1. Werte und Prinzipien

Cybersicherheit (hier kurz "Sicherheit") ist für die IoT-Produkte und digitalen Dienste von Kärcher von enormer Bedeutung. Wir verfolgen einen Security-by-Design-Ansatz und verpflichten uns, die Sicherheit unserer IoT-Produkte und digitalen Dienste während ihres gesamten Lebenszyklus zu gewährleisten. Sicherheit ist jedoch ein bewegliches Ziel, und das Umfeld der Sicherheit entwickelt sich kontinuierlich weiter. So können neue Erkenntnisse, Angriffsmöglichkeiten und Schwachstellen jederzeit entdeckt werden. Obwohl wir Sicherheit in unseren Produkten von Anfang an berücksichtigen, können wir keine 100% perfekte Sicherheit erreichen.

Kärcher ist bestrebt, den Sicherheitszustand seiner IoT-Produkte und digitalen Dienste kontinuierlich zu unterstützen und zu verbessern. Deshalb möchte Kärcher eng mit der Cybersicherheits-Gemeinschaft zusammenarbeiten. Wir ermutigen Forscher, Behörden, Geschäftspartner und andere private und öffentliche Akteure uns bezüglich Probleme, Schwachstellen oder möglichen Exploits etc. in unseren IoT-Produkten und digitalen Diensten zu kontaktieren. Derartige Sicherheitsinformationen von Dritten sind ein wertvoller Teil unserer Sicherheitsarchitektur.

2. Melde- und Offenlegungsbedingungen

Kärcher will die Kommunikation mit Informationsbereitstellern und Akteuren der Cybersicherheits-Gemeinschaft so einfach und zugänglich wie möglich gestalten. Die folgenden Punkte sind wichtig, damit wir schnell und effektiv auf Berichte reagieren können:

2.1 Allgemeines:

  • Berichte können in Englisch und Deutsch gesendet werden
  • Es sind keine Verträge oder Geheimhaltungsvereinbarungen erforderlich
  • Berichte müssen sich auf folgendes beziehen:
    • ein Kärcher IoT-Produkt, d.h. das Produkt trägt das Kärcher-Logo und verfügt über eine Art von Vernetzung (WLAN, Bluetooth, ZigBee usw.)
    • ein digitaler Dienst von Kärcher, der über das Internet verfügbar ist
  • Wir empfehlen Reportern, verschlüsselte E-Mail-Kommunikation zu verwenden
  • Kärcher wird keine rechtlichen Ansprüche irgendwelcher Art im Zusammenhang mit der Meldung von Schwachstellen usw. im Rahmen dieses Reportings verfolgen, vorausgesetzt:
    • Der/die Reporter/in fügt Kärcher und/oder seinen verbundenen Unternehmen, Kunden, Lieferanten oder Partnern keinen Schaden zu
    • Der/die Reporter/in beeinträchtigt weder die Privatsphäre oder Sicherheit von Kärcher und/oder seinen verbundenen Unternehmen, Kunden, Lieferanten oder Partnern noch den Betrieb der Dienstleistungen von Kärcher
    • Der/die Reporter/in wird seine/ihre Ergebnisse nicht zu veröffentlichen, bis Kärcher in der Lage war, den Fehler/die Schwachstelle zu beheben
    • Das Vorgehen des Reporters/der Reporterin verstößt nicht gegen ein Gesetz oder stört oder kompromittiert keine Daten oder vertraulichen Informationen, die nicht seine/ihre eigenen sind

2.2 Erforderliche Inhalte für einen Bericht

  • Name des betroffenen IoT-Produkts oder digitalen Dienstes
    (vorzugsweise mit Typnamen, Seriennummer oder Domainnamen oder URL)
  • Kontaktinformationen des Reporters zur weiteren Kommunikation
    (identifizierbar oder anonym)
  • Beschreibung der Auswirkungen, Erkenntnisse oder Schwachstellen
    (wenn möglich mit Protokollen, Bildern oder anderem zusätzlichen Material, um den Befund zu reproduzieren)
  • ID, Kennung oder Kategorie der Schwachstelle bzw. des Reportgegenstands
    (wenn möglich basierend auf CWE oder OWASP)
  • Falls bekannt: Auswirkungen, Abhängigkeiten oder andere Einflüsse des Reportgegenstands
  • Wenn bekannt: CVSS3-Score oder eine Schätzen von CVSS-ähnlichen Parameter
    (z. B. erforderliche Berechtigungen, erforderliche Benutzerinteraktion, Verfügbarkeit von Angriffstools usw.)
  • Wenn bekannt: Bekanntheit oder Verbreitung der Schwachstelle oder des Exploits

 

Hinweis: Wir werden jeden Report analysieren. Je mehr Informationen wir erhalten, desto besser können wir auf den Report reagieren. Wenn wir nicht genügend Informationen erhalten, kann es sein, dass wir den Bericht zurückstellen oder nicht weiterverfolgen.

2.3 Offenlegungsprozess

  • Wir sorgen für folgende Prozesse:
  • Bestätigung des Eingangs des Berichts innerhalb von 3 Werktagen
  • Antwort mit erster Bewertung oder zusätzlicher Frage(n) innerhalb von 10 Werktagen
  • Der genaue Zeitpunkt für die Information bezüglich der Reaktion und der Behebung hängt von der Komplexität des individuellen Sachverhaltes ab
  • Jeder Reporter wird benachrichtigt, wenn der Befund behoben wurde

Weitere geltende Bestimmungen

Alle Probleme oder Reports ohne Bezug zur Cybersicherheit werden von dieser Kontaktstelle nicht bearbeitet. Kärcher wird den Reporter informieren, wenn der Report als nicht relevant im Sinne der Cybersicherheit bewertet wird. Bitte wenden Sie sich in diesem Fall an den Kundendienst oder Ihren zuständigen Vertriebsmitarbeiter oder Händler.

Kärcher schätzt jeden Report und möchte, wo immer möglich, Lösungsvorschläge für Sicherheitsprobleme umsetzen. Um Code, Snippets, Images oder andere Quellen mit potenziellem geistigem Eigentum integrieren zu können, müssen wir sicherstellen, dass diese nicht an gesetzliche Ansprüche gebunden sind. Andernfalls können Sicherheitsupdates und Patches nicht bereitgestellt werden, selbst wenn sie das Sicherheitsproblem lösen.

Kärcher erhebt keinerlei Anspruch auf Eigentumsrechte an Ihrem Report. Durch Übermittlung eines Reports an Kärcher stimmen Sie jedoch Folgendem zu:

  • Sie gewähren Kärcher die folgende nicht ausschließliche, unwiderrufliche, zeitlich unbeschränkte, lizenzgebührenfreie, weltweite, unterlizenzierbare Lizenz in Bezug auf das in Ihrem Report enthaltene geistige Eigentum, um Ihren Report:
    • zu verwenden, zu überprüfen, zu bewerten, zu testen und anderweitig zu analysieren;
    • den Report und/oder dessen Inhalte ganz oder teilweise zu reproduzieren, zu modifizieren, zu verbreiten, öffentlich zu zeigen, zu vermarkten und abgeleitete Arbeiten daraus zu erstellen; und
    • den Report und/oder dessen Inhalte im Zusammenhang mit der Vermarktung, dem Verkauf oder der Werbung für dieses Programm oder andere Programme (einschließlich interner und externer Verkaufsmeetings, Konferenzpräsentationen, Messen und Screenshots der Einreichung in Pressemitteilungen) in allen Medien (aktuell bekannt oder später entwickelt) zu präsentieren;
  • Sie stimmen zu, bei Bedarf alle Unterlagen zu unterschreiben, die für uns oder unsere Vertreter erforderlich sind, um die von Ihnen oben gewährten Rechte zu bestätigen;
  • Sie sind sich bewusst und erkennen an, dass Kärcher möglicherweise Material entwickelt oder in Auftrag gegeben hat, das ähnlich oder identisch mit Ihrem Report ist und Sie verzichten auf jegliche Ansprüche, die sich möglicherweise aus Ähnlichkeiten mit Ihrem Report ergeben;
  • Sie sind sich bewusst und erkennen an, dass Ihnen keine Entschädigung gezahlt oder die Erwähnung für die Nutzung Ihrer Einreichung garantiert wird; und
  • Sie sichern zu und garantieren, dass Ihre Einreichung Ihre eigene Arbeit ist, dass Sie keine Informationen verwendet haben, die das Eigentum anderer natürlicher oder juristischer Personen sind, und dass Sie rechtlich befugt sind, die Einreichung an Kärcher zu übermitteln.

Kontaktformular

Um eine schnelle und angemessene Reaktion zu gewährleisten, empfehlen wir die Verwendung unseres Kontaktformulars.

Hinweis: Bitte nutzen Sie zum Aufrufen und Befüllen des Formulars PC oder Tablet. In der mobilen Version oder bei Verwendung des Internet Explorers kann es zu Fehlern in der Darstellung kommen. Wir bitten dies zu entschuldigen.