1. Politisches Ziel

LuxpowerTek ist bestrebt, seinen Kunden weltweit sichere und zuverlässige Produkte und Dienstleistungen zu bieten. Wir ermutigen Sicherheitsforscher, Partner und Kunden, potenzielle Schwachstellen zu melden über verantwortungsvolle Offenlegungspraktiken, sodass wir Risiken umgehend angehen und mindern können.

2. Berichtsprozess

Um einen Schwachstellenbericht einzureichen, verwenden Sie bitte die folgenden Kanäle:

E-Mail

security@luxpowertek.com (PGP-Verschlüsselung empfohlen)

Online-Formular/Sicherheitsportal

Details zu einem dedizierten Sicherheitsportal werden separat bekannt gegeben.

Bitte fügen Sie Ihrem Bericht die folgenden Informationen bei:

  • Betroffenes Produktmodell und Firmware-/Softwareversion
  • Detaillierte Beschreibung der Sicherheitslücke und Schritte zur Reproduktion (oder Proof of Concept)
  • Analyse der potenziellen Auswirkungen
  • Kontaktinformationen für Folgekommunikation

TIPPS:

Um eine verantwortungsvolle Offenlegung zu gewährleisten, geben Sie die Sicherheitslücke bitte erst dann öffentlich bekannt, wenn ein offizieller Fix veröffentlicht wurde.

3. Umfang der Sicherheitstests und Compliance-Grenzen

Erlaubte Testaktivitäten

  • Lokales Gerätetesten
  • Netzwerkkommunikationsanalyse
  • Konfigurations- und Berechtigungsüberprüfung

Verbotene Aktivitäten❌

  • Unbefugter Zugriff oder Diebstahl von Benutzerdaten
  • Ausnutzung von Schwachstellen, die zu Dienstunterbrechungen oder Schäden führen
  • Groß angelegte Scan- oder Denial-of-Service-Angriffe auf Produktionsumgebungen

4. Prozess und Zeitplan für die Reaktion auf Sicherheitslücken

LuxpowerTek hält sich an internationale Best Practices und hat einen standardisierten Reaktionsprozess für den Umgang mit Schwachstellen etabliert:

  1. Anerkennung: Innerhalb von 5 Werktagen nach Eingang einer Meldung bestätigen wir den Eingang.
  2. Validierung und Bewertung: Unser Sicherheitsteam validiert die Sicherheitslücke und bewertet ihr Risikoniveau anhand des CVSS v3.1-Standards.
  3. Sanierungsplan: Je nach Schweregrad entwickeln wir einen Fix- oder Minderungsplan.
  4. Kommunikation: Wir bleiben während des gesamten Prozesses mit dem Berichterstatter in Kontakt und fordern bei Bedarf zusätzliche Informationen an.
  5. Öffentliche Offenlegung osure: Nach der Lösung des Problems wird in unserem Sicherheitsbulletin ein Hinweis zur Sicherheitslücke veröffentlicht, mit einer Bestätigung an den Forscher, sofern dieser seine Zustimmung erteilt.

Der typische Zeitplan für die Lösung und Offenlegung beträgt 90–120 Tage, wobei kritische Schwachstellen für eine beschleunigte Bearbeitung priorisiert werden.

5. Klassifizierung der Schwachstellen

Schwachstellen werden basierend auf dem CVSS v3.1-Standard wie folgt klassifiziert:

Niedrig (0,1–3,9)

Minimale Auswirkungen, die in nachfolgenden Iterationen behoben werden.

Mittel (4,0–6,9)

Begrenzte Auswirkungen, werden in routinemäßigen Softwareupdates behoben.

Hoch (7,0–8,9)

Schwachstellen mit schwerwiegenden Auswirkungen werden zur schnellen Behebung priorisiert.

Kritisch (9,0–10,0)

Sofortige Behebung durch dringende Patch-Veröffentlichung.

6. Hinweis

Grundsätze der koordinierten Offenlegung

LuxpowerTek hält sich an eine Herz-Kreislauf-Erkrankungen(Koordinierte Offenlegung von Sicherheitslücken) Modell, um sicherzustellen, dass Schwachstellen vor der Veröffentlichung eines Patches nicht öffentlich bekannt gegeben werden.

Von den Forschern wird verlangt, ein angemessenes Zeitfenster für die Abhilfe bereitzustellen, in der Regel 90 Tage, um eine zeitnahe Lösung zu ermöglichen.

Gesetzliche Ausnahme

Vorausgesetzt, dass Schwachstellentests und Offenlegungen in Übereinstimmung mit dieser Richtlinie durchgeführt werden, wird LuxpowerTek keine rechtlichen Schritte gegen Forscher einleiten und solche Aktivitäten als Sicherheitsforschung in gutem Glauben.

Haftungsausschluss

Diese Richtlinie kann aktualisiert werdend, um Branchenentwicklungen und rechtlichen Anforderungen Rechnung zu tragen. LuxpowerTek übernimmt keine Garantie oder Haftung für direkte oder indirekte Verluste, die aus der Offenlegung von Sicherheitslücken oder Verzögerungen bei der Behebung entstehen.