Sicherheitsrichtlinie (Vulnerability Disclosure Policy)

1. Einleitung

Die Sicherheit unserer Nutzerinnen und Nutzer sowie der Schutz ihrer Daten haben für uns höchste Priorität. Wir schätzen die Arbeit von Sicherheitsforschern, die uns dabei unterstützen, potenzielle Schwachstellen aufzudecken und die Resilienz unserer Systeme zu stärken. Diese Richtlinie beschreibt, wie Sie uns Sicherheitsmeldungen übermitteln können und welche Schritte wir im Falle einer Meldung einleiten.

2. Geltungsbereich (Scope)

Diese Richtlinie bezieht sich auf alle Produkte und Dienstleistungen der Ramser Elektrotechnik, insbesondere:

• Hardware & Geräte: Sämtliche von uns vertriebenen physischen Produkte mit digitalen Komponenten.
• Software & Firmware: Alle bereitgestellten Softwareanwendungen, Firmware-Images sowie deren zugrundeliegende Quelltexte, die unter der Domain ramser-elektro.at oder offiziellen Repositories verwaltet werden.
• Infrastruktur: Die Webpräsenz sowie die für den Betrieb und die Bereitstellung unserer Produkte genutzten Dienste unter ramser-elektro.at.

3. Meldung von Schwachstellen

Sollten Sie eine Sicherheitslücke in unseren Systemen oder Diensten entdeckt haben, bitten wir Sie, uns dies vertraulich mitzuteilen.

• Kontakt: Senden Sie Ihren Bericht bitte per E-Mail an security@ramser-elektro.at.
• Sprachen: Wir akzeptieren Meldungen auf Deutsch und Englisch.
• Was wir benötigen: Eine detaillierte Beschreibung der Lücke, Schritte zur Reproduktion sowie ggf. Screenshots oder Proof-of-Concept-Code.

Um Ihre Meldung effizient bearbeiten zu können, sollte Ihr Bericht folgende Details enthalten:

• Eine detaillierte Beschreibung der Schwachstelle sowie das betroffene Produkt.
• Eine Anleitung zur Reproduktion des Fehlers (Proof of Concept).
• Eine Einschätzung der möglichen Auswirkungen der Sicherheitslücke.

4. Verschlüsselte Kommunikation (PGP)

Für die vertrauliche Übermittlung von Informationen unterstützen wir die Verschlüsselung mittels PGP.

• PGP Public Key: Download direkt von unserem Server
• WKD (Web Key Directory): Unser Schlüssel ist via WKD hinterlegt und kann von modernen E-Mail-Clients automatisch über die Adresse security@ramser-elektro.at (oder Ihre entsprechende Adresse) gefunden werden.
• Fingerprint: F15B 3D58 E2BD 6723 C6B5 3CA0 BE2F 95F5 559A 04A9

5. Unser Versprechen

Sobald uns eine Meldung erreicht, verpflichten wir uns zu folgendem Prozess:

• Bestätigung: Wir bestätigen Ihnen den Empfang Ihrer Meldung innerhalb von 7 Werktagen.
• Analyse: Wir bewerten die Schwachstelle (Triage) und informieren Sie über unsere Einschätzung sowie die geplanten nächsten Schritte.
• Behebung: Wir arbeiten an einer zeitnahen Lösung, sei es durch ein Sicherheitsupdate, einen Patch oder einen entsprechenden Workaround für kritische Lücken.
• Transparenz: Wir informieren betroffene Nutzerinnen und Nutzer über notwendige Updates oder Maßnahmen zur Risikominimierung gemäß den gesetzlichen Anforderungen des Cyber Resilience Act (CRA).

6. Verhaltensregeln (Safe Harbor)

Wir sichern Ihnen zu, keine rechtlichen Schritte gegen Sie einzuleiten, sofern Sie die folgenden Grundsätze beachten:

• Sie nutzen die Schwachstelle nicht zum Schaden von Nutzern oder zum Zweck des Datendiebstahls aus.
• Sie gewähren uns einen angemessenen Zeitraum zur Behebung der Lücke, bevor Sie Informationen darüber öffentlich machen (Responsible Disclosure).
• Sie führen keine zerstörerischen Tests durch (z. B. Denial-of-Service-Angriffe oder physische Beschädigung von Hardware).