Cyber Security Notification

Dipl.-Ing. H. Horstmann GmbH als Hersteller qualitativ hochwertiger und langlebiger Produkte stellt auch an die Cybersicherheit seiner vernetzten Geräte und Anwendungen höchste Anforderungen.

Vulnerability Disclosure

Bei Horstmann legen wir großen Wert auf die Sicherheit unserer Produkte. Deshalb möchten wir Fachkundige ermutigen, Schwachstellen auf verantwortungsvolle Weise offenzulegen. Sollten Sie Hinweise über eine möglichen Sicherheitslücke in unseren Produkten haben, melden Sie diese bitte entsprechend dem beschriebenen Meldevorgang.

Richtlinien für Tests

• Testen Sie keine Hardware, die sich im produktiven Betrieb oder im Feldeinsatz befindet, sondern nur eigene Hardware oder mit ausdrücklicher Genehmigung der Besitzer beziehungsweise Betreiber
• Verzichten Sie auf Social Engineering (Phishing, Vishing, Dumpster Diving,…)
• Verwenden Sie nur nicht-destruktive Testmethoden und verzichten sie beispielsweise auf
  • DoS oder DDoS Angriffe
  • Einsatz von Viren, Malware, Würmer
  • Löschen oder Manipulieren von Daten
  • Automatisierte Tests

Scope

Alle Hardwareprodukte und deren Software, sowie die entsprechenden Konfigurationsprogramme, welche zu der Marke Dipl.-Ing. H. Horstmann GmbH gehören.

Out of Scope

Ergebnisse die hauptsächlich mittels Social Engineering (z.B. Phishing, Vishing, …) erreicht wurden. Sämtliche Server, Webapplikationen und andere Online-Dienste /-Auftritte.

Vulnerability Reporting

Bitte senden Sie Ihre Hinweise an vulnerability@horstmanngmbh.com. Um die Vertraulichkeit der Informationen zu gewährleisten, verschlüsseln Sie bitte Ihre E-Mail und die gesendeten Daten mit dem angegebenen öffentlichen PGP-Schlüssel.

SHA-1 Schlüssel-Fingerprint: ACA7 6381 96CF BC24 E22D C83A E08D 9ED1 6C1B 1CD6

Nach Erhalt der Meldung wird eine automatische Empfangsbestätigung versendet und innerhalb von 7 Tagen eine erste Bewertung der gemeldeten Schwachstelle an die meldende Person.

Inhalt der Meldung

• Bitte stellen Sie sicher, dass in Ihrer Meldung keine vertraulichen oder persönlichen Informationen enthalten sind und Sie sich nur auf die gefundene Schwachstelle beziehen.
• Beschreiben Sie die gefundene Lücke möglichst genau, damit wir diese schnellstmöglich reproduzieren können. Gerne auch mit Bildern oder Videos die den Fehler und Ihr Vorgehen verdeutlichen.
• Entsprechende Detailinformationen wie:
  • Betroffenes Produkt/Anwendung
  • Seriennummer
  • Softwareversion
  • Hardwarerevision
  • URL
  • Testszenario
• Bitte verfassen Sie die Meldung in Deutsch oder Englisch.
• Auch wenn Sie sich nicht ganz sicher sind: Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir weitere Fragen haben.

Responsible Disclosure

Bitte geben Sie uns die Möglichkeit, die Schwachstelle zu bearbeiten und sehen bis dahin von einer Veröffentlichung ab. Die Bereitstellung eines möglichen Patches kann eine gewisse Zeit dauern. Nach unserer schriftlichen Freigabe darf über die Lücke gesprochen werden und bis dahin verpflichten wir uns alle zur Geheimhaltung.

Wir bestätigen den Empfang der Meldung mit einer automatischen Mail und melden uns innerhalb von 7 Tagen mit einer ersten Einschätzung.

Die Behebung der Lücke dauert bei einer Softwareänderung bis zu 90 Tage und bei einer Hardwareänderung bis zu 6 Monate. Bei Third-party Hardware / Software wird die Information weitergegeben und schnellstmöglich an einer Lösung gearbeitet.