zf.com

Verantwortungsvolle Cyber‑Schwachstellenmeldung

Bei ZF steht die Sicherheit unserer Kunden, Produkte und Mitarbeitenden an erster Stelle. Wir schätzen Ihre Unterstützung bei der Identifizierung von Schwachstellen auf unserer Website, Produkten (Soft- & Hardware), Diensten oder Webanwendungen.

Diese Richtlinie zur verantwortungsvollen Offenlegung hilft uns, sicherzustellen, dass Sicherheitslücken sowohl zeitnah als auch verantwortungsbewusst gemeldet und behoben werden.

Nach Erhalt von Berichten über Sicherheitslücken gemäß dieser Richtlinie, werden wir sofortige Maßnahmen ergreifen. Dazu gehört die Einbeziehung relevanter Mitarbeitenden innerhalb unserer Organisation und die Zusammenarbeit mit Sicherheitsforschenden um das Problem zielführend zu lösen. Wir sind bestrebt, alle gemeldeten Sicherheitslücken im Einklang mit unseren Sicherheits- und Datenschutzverpflichtungen zu beheben.

Wir versichern Ihnen, dass wir keine rechtlichen Schritte gegen Personen einleiten werden, die Sicherheitslücken im Rahmen dieser Richtlinie verantwortungsbewusst offenlegen. Bei Verstoß gegen diese Richtlinie behalten wir uns indes alles Rechte vor.

Reaktion und Anerkennung

Wir wertschätzen Offenlegungsbemühungen; finanzielle Vergütungen für gemeldete Schwachstellen leisten wir jedoch nicht. Anträge auf Entschädigung oder Teilnahme an Bug-Bounty-Programmen gelten nicht als konform mit dieser Richtlinie zur verantwortungsvollen Offenlegung.

Leitfaden für verantwortungsvolles Reporting

Um eine verantwortungsvolle Offenlegung sicherzustellen, bitten wir Personen, sich bei der Meldung von Sicherheitslücken an die folgenden Vorgaben zu halten:

  • Sehen Sie davon ab, den Fehler oder die Sicherheitslücke auf öffentlichen Plattformen offenzulegen, bevor Sie ZF informieren, und lassen Sie angemessene Zeit für die Lösung.
  • Vermeiden Sie die Ausnutzung von Sicherheitslücken, um auf nicht autorisierte Daten zuzugreifen oder die Vertraulichkeit und Verfügbarkeit zu beeinträchtigen.
  • Beteiligen Sie sich nicht an Aktivitäten, die sich auf die Zuverlässigkeit oder Verfügbarkeit unserer Dienste auswirken können, wie z. B. DDoS oder Spam-Angriffe.
  • Vermeiden Sie die Verwendung von Scannern oder automatisierten Tools, um Sicherheitslücken zu entdecken, da sie unbeabsichtigte Folgen haben können.
  • Unterlassen Sie nicht-technische Angriffe, einschließlich Social Engineering, Phishing oder physische Angriffe auf unsere Mitarbeitenden oder die Infrastruktur.
  • Fordern Sie keine Entschädigung für Schwachstellen, weder direkt noch indirekt.

Was ist in den Bericht aufzunehmen?

Wenn Sie Sicherheitslücken melden, geben Sie bitte die folgenden Details an:

  • Beschreibung der vermuteten Schwachstelle
  • Schritte zur Reproduktion des Problems
  • Ihre E-Mail-Adresse und eine sichere Art der Kontaktaufnahme
  • Ihr Name (oder der eines Mitarbeitenden) zur Wiedererkennung, wenn gewünscht

So melden Sie ein Problem

Wenn Sie glauben, eine Sicherheitslücke in einem unserer Produkte oder Anwendungen entdeckt zu haben, füllen Sie bitte das folgende Formular aus. Wir bitten Sie, vermutete Schwachstellen nicht ohne vorherige Zustimmung von ZF öffentlich bekannt zu geben.