Unterstützung Produktsicherheit

Brother PSIRT Richtlinie zur Offenlegung von Schwachstellen

 

 

Diese Richtlinie beschreibt, wie Kunden und Sicherheitsexperten Schwachstellen an Brother ("Brother", "wir", "uns" oder "unser") und unseren Support melden.

Anwendungsbereich des Schwachstellenberichts

In Übereinstimmung mit dieser Richtline umfasst der Anwendungsbereich Schwachstellen, bezogen auf unsere Produkte, unsere Software und unsere Clouddienste.

Wir können keine Meldungen zu folgenden Bereichen annehmen:

• Nicht unterstützte Produkte (Testversionen und Produkte, die vom Support nicht mehr unterstützt werden)
• Nicht reproduzierbare Sicherheitslücken
• Offengelegte Schwachstellen
• Nicht ausnutzbare Sicherheitslücken
• Volumenbasierte / Denial-of-Service-Schwachstellen (d.h., unser Dienst wird mit einem hohem Volumen an Anfragen überlastet)
• Schwachstellen in der TLS-Konfiguration (z.B. Unterstützung einer "schwachen" Chiffrensammlung oder das Vorhandensein von TLS 1.0-Unterstützung, sweet32, BEAST, usw.)
• Social Engineering Angriffe
• Sicherheitslücken in Webseiten Dritter, die in den Produkten integriert sind
• Berichte, die darauf hindeuten, dass Produkte nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header

Meldung einer Schwachstelle

Bitte verwenden Sie das Meldeformular auf unserer Website unter dem nachfolgenden Link, um Schwachstellen in Bezug auf unsere Produkte, Software und Cloud-Dienste zu melden.
Melden Sie eine potentielle Sicherheitslücke an Brother PSIRT (nur in Englisch)

Bitte geben Sie die folgenden Informationen an, damit wir Ihre Meldung einstufen und nach Prioritäten ordnen können:

• Produktname, Softwareversion und Funktionalität / Netzprotokoll, in denen Schwachstellen entdeckt wurden
• Mögliche Auswirkungen, wenn die Schwachstellen ausgenutzt werden
• Eine detaillierte Beschreibung der Schritte zur Reproduktion der Schwachstelle

Brother PSIRT ist die Kontaktstelle für Anfragen zu Produktschwachstellen. Bitte beachten Sie, dass wir möglicherweise nicht in der Lage sind, auf Anfragen zu antworten, die sich nicht auf Sicherheitslücken beziehen.
Bei Fragen, die nicht mit Sicherheitslücken in Zusammenhang stehen, wenden Sie sich bitte an Ihren lokalen Brother-Support oder an den Händler, bei dem Sie das Produkt erworben haben. Kontaktinformationen finden Sie auf der Brother-Website.

Wir beabsichtigen nicht, rechtliche Schritte gegen Sicherheitsforscher einzuleiten, die versuchen, Sicherheitslücken oder Schwachstellen in unseren Produkten, unserer Software oder unseren Cloud-Diensten zu überprüfen, sofern die folgenden Bedingungen eingehalten werden:

• Die Prüfung oder Untersuchung erfolgt in gutem Glauben und ausschließlich zum Zweck der Identifizierung von Sicherheitslücken oder Schwachstellen, wobei darauf geachtet wird, weder Einzelpersonen noch uns Schaden zuzufügen
• Alle aus solchen Aktivitäten gewonnenen Informationen werden in erster Linie dazu verwendet, die Sicherheit unserer Produkte oder die Sicherheit ihrer Nutzer zu verbessern

Auch wenn solche Aktivitäten dem Zweck dienen, Sicherheitslücken oder Schwachstellen zu überprüfen, sind die folgenden Handlungen untersagt:

• Jegliche Überprüfung, die einem DoS- oder DDoS-Angriff gleichkommt, sowie alle anderen Aktivitäten, die den Zugriff auf Systeme stören oder Systeme bzw. Daten beschädigen, sind untersagt
• Physische Tests wie das unbefugte Betreten unserer Büros oder Betriebsstätten, das Mitgehen (Tailgating), Social Engineering oder jede andere Form der nicht-technischen Schwachstellenprüfung sind untersagt
• Versuche, auf Konten oder Informationen zuzugreifen oder diese zu verändern, die nicht die eigenen sind

Unsere Reaktion nach Erhalt einer Meldung

Wir bestätigen den Erhalt der Meldung innerhalb von 7 Tagen nach Eingang eines Berichts über eine Sicherheitslücke für unsere Produkte, Software oder Cloud-Dienste. In einigen Fällen kann sich ein Mitarbeiter der Brother-Vertriebsgesellschaft in Ihrer Region bezüglich der Meldung mit Ihnen in Verbindung setzen. Um diese Kommunikation zu erleichtern, können wir die persönlichen Daten, die Sie dem Brother PSIRT-Kontakt für Schwachstellenmeldungen zur Verfügung gestellt haben, an das Brother-Vertriebsunternehmen weitergeben. Bitte lesen Sie unsere Datenschutzrichtlinie, um zu erfahren, wie wir mit persönlichen Daten umgehen.

Die von Ihnen gemeldeten Informationen werden vom Brother PSIRT verwaltet, das den Vorfall in Zusammenarbeit mit unserer Entwicklungsabteilung untersuchen wird. Sobald wir geprüft haben, ob die Schwachstelle in unserem Produkt existiert, werden wir Sie über die von Ihnen angegebene E-Mail-Adresse kontaktieren.

Falls die gemeldete Schwachstelle als neues Problem bestätigt wird, das unsere Produkte, Software oder Cloud-Dienste betrifft, werden die zuständigen Abteilungen eine umfassende Entscheidung über die Reaktionsstrategie und den Zeitplan treffen und entsprechende Maßnahmen einleiten.

Wenn die gemeldete Schwachstelle behoben ist, werden wir uns mit dem Meldenden und den betroffenen Parteien abstimmen, um ein Datum für die Veröffentlichung eines Sicherheitshinweises festzulegen, damit unsere Kunden entsprechende Maßnahmen ergreifen können. Sobald wir die Vorbereitungen für die Veröffentlichung abgeschlossen haben, werden wir den Sicherheitshinweis auf unserer Website veröffentlichen.

Bug bounty

Wir bieten kein bezahltes Bug Bounty Programm an, unabhängig vom Inhalt der Meldung.