Version: 1.0
Letzte Aktualisierung: 2026-04-24
Organisation: Ramser Elektro
Kontakt für Sicherheitsmeldungen: security@ramser-elektro.at

1. Verantwortungsbewusstsein

Ramser Elektrotechnik agiert als Hersteller von Produkten mit digitalen Elementen gemäß Art. 3 CRA.

Bei Ramser Elektrotechnik verstehen wir, dass die Sicherheit unserer elektrotechnischen Lösungen und digitalen Komponenten die Basis für das Vertrauen unserer Kunden ist. Im Einklang mit dem EU Cyber Resilience Act (CRA) setzen wir auf Transparenz und kontinuierliche Verbesserung unserer Sicherheitsstandards.
Ramser Elektrotechnik erfüllt die Anforderungen des EU Cyber Resilience Act (CRA), insbesondere in Bezug auf Schwachstellenmanagement, sichere Entwicklung und verpflichtende Sicherheitsupdates über den definierten Supportzeitraum.

Wir sind daran interessiert, Sicherheitsprobleme frühzeitig zu identifizieren und zu beheben, um die Sicherheit unserer Systeme und Nutzer zu gewährleisten.

2. Scope (Geltungsbereich)

Diese Richtlinie gilt für:

  • Offizielle Website: https://www.ramser-elektro.at
  • Systeme, die im direkten Zusammenhang mit unseren digitalen Diensten stehen
  • Hardware‑Produkte (einschließlich eingebetteter Komponenten)
  • Software und Firmware
  • Web‑ und Cloud‑Infrastruktur
  • Interne und externe IT‑Systeme, soweit sie im Verantwortungsbereich von Ramser Elektro liegen
  • Alle Produkte mit digitalen Elementen, die im Rahmen des CRA in der EU in Verkehr gebracht werden.

3. Out of Scope (nicht im Geltungsbereich)

Folgende Aktivitäten sind nicht erlaubt bzw. nicht erwünscht:

  • Social Engineering (Phishing, Telefonbetrug, physische Angriffe)
  • Denial-of-Service (DoS / DDoS)
  • Spam oder Mass-Scanning
  • Angriffe auf Drittanbieter ohne Bezug zu unseren Systemen
  • Tests, die Datenverlust, Veränderung von Hardware-Integrität oder Betriebsstörungen verursachen

4. Responsible Disclosure (verantwortungsvolle Offenlegung)

Wenn du eine Sicherheitslücke entdeckst:

  • melde sie vertraulich
  • veröffentliche keine Details vor einer Behebung
  • greife nicht auf Daten zu, die nicht dir gehören
  • verändere oder lösche keine Daten
  • störe keine Dienste
  • kein aktiver Schaden an Systemen oder Daten
  • kein Zugriff auf personenbezogene Daten
  • keine Veröffentlichung der Schwachstelle vor Bereitstellung eines Fixes bzw. Ablauf der koordinierten Frist

Sicherheitsmeldungen werden im Rahmen eines „Coordinated Vulnerability Disclosure“-Prozesses (CVD) gemäß CRA behandelt.

5. Meldung von Sicherheitslücken

Bitte sende Meldungen an:
security@ramser-elektro.at

Empfohlene Angaben:

  • Beschreibung der Schwachstelle
  • betroffene URL oder Komponente (Modell/Firmware-Version bei Hardware)
  • Schritte zur Reproduktion
  • mögliche Auswirkungen
  • optional: Proof of Concept (PoC)
  • optional: Kontaktinformationen

Verschlüsselte Meldung ist möglich über:
https://www.ramser-elektro.at/.well-known/pgp-key.txt
Fingerprint: F15B 3D58 E2BD 6723 C6B5 3CA0 BE2F 95F5 559A 04A9

6. Reaktionszeiten (SLA)

Wir garantieren im Falle einer gemeldeten Sicherheitslücke folgende Reaktionszeiten:

  • Eingangsbestätigung: Innerhalb von maximal 3 Werktagen
  • Erste Rückmeldung: 3–5 Werktage
  • Validierung: Eine erste fachliche Einschätzung (Triage) und ein Zeitplan für die Fehlerbehebung werden dem Melder innerhalb von 7 Werktagen mitgeteilt
  • Bei aktiv ausgenutzten Schwachstellen (actively exploited vulnerabilities) erfolgt eine Meldung an die zuständigen CSIRTs innerhalb von 24 Stunden nach Bekanntwerden, sofern erforderlich durch den CRA.
  • Detaillierter Sicherheitsbericht innerhalb von 72 Stunden (falls meldepflichtig gemäß CRA)

Behebung:

  • abhängig vom Schweregrad (High / Medium / Low)
  • Kritische Schwachstellen werden mit höchster Priorität behandelt und nach Möglichkeit innerhalb eines angemessenen, risikobasierten Zeitrahmens behoben.
  • Wir informieren regelmäßig über den Status.

7. Safe Harbor

Wir betrachten Sicherheitsforscher als Partner.

Solange diese Richtlinie eingehalten wird, verpflichten wir uns, keine rechtlichen Schritte gegen Sicherheitsforscher einzuleiten, sofern

  • keine Daten missbraucht werden
  • keine Systeme absichtlich beschädigt werden
  • keine Dienste gestört werden

Handlungen im Rahmen dieser Policy gelten als ausdrücklich autorisierte Sicherheitsforschung im Sinne des CRA und anwendbarer EU- und nationaler Gesetze.

8. Koordination & Veröffentlichung

  • Rückmeldung erfolgt nach Behebung der Schwachstelle
  • Veröffentlichung nur nach Abstimmung (Coordinated Vulnerability Disclosure)
  • Eine öffentliche Offenlegung erfolgt erst nach Abstimmung mit Ramser Elektrotechnik und unter Berücksichtigung der CRA-Vorgaben zur sicheren Kommunikation von Schwachstellen.

9. Einschränkungen für Tests

Erlaubt sind nur Tests, die:

  • keine Systeme beeinträchtigen
  • keine personenbezogenen Daten exfiltrieren
  • keine Dienste stören
  • Exploits sollten nur als minimaler Funktionsnachweis (PoC) geführt werden

10. Beziehung zur security.txt

Diese Policy ist die zentrale Referenz für Sicherheitsmeldungen und wird in der security.txt referenziert:

Policy: https://www.ramser-elektro.at/ueber-uns/security-policy/
Contact: security@ramser-elektro.at
Encryption: https://www.ramser-elektro.at/.well-known/pgp-key.txt
Expires: 31.12.2026

Diese security.txt entspricht den Empfehlungen des EU CRA zur strukturierten Bereitstellung von Sicherheitskontaktinformationen.

11. Supportdauer / Update‑Garantie

Ramser Elektrotechnik legt für jedes Produkt mit digitalen Funktionen einen festen Support-Zeitraum fest:

  • Transparenz: Das spezifische Ende des Support-Zeitraums (End-of-Support) kann für jedes Produkt in unserem Download-Bereich oder im technischen Datenblatt eingesehen werden.
  • Update-Garantie: Wir verpflichten uns, sicherheitsrelevante Updates für eine Dauer von mindestens 5 Jahren (bzw. für die gesamte marktübliche Lebensdauer des Produkts, sofern diese kürzer ist) ab dem Zeitpunkt des Inverkehrbringens bereitzustellen.
  • Sicherheitsupdates werden während des gesamten Supportzeitraums „unverzüglich und sicherheitsorientiert“ bereitgestellt.
  • Produkte, deren Supportzeitraum abgelaufen ist, werden in der Regel nicht mehr mit Sicherheitsupdates versorgt.
  • End-of-Support wird klar vor Inverkehrbringen dokumentiert.

12. Software-Stückliste (SBOM) und Transparenz

Zur proaktiven Risikoanalyse führen wir für alle softwarebasierten Systeme eine interne Software Bill of Materials (SBOM).

  • Interne Software Bill of Materials (SBOM) wird geführt
  • SBOM wird auf Anfrage gegenüber Kunden unter Einhaltung von Geheimhaltungsvereinbarungen und zuständigen Behörden bereitgestellt
  • Unterstützung von Risikoanalysen entlang der Lieferkette gemäß CRA

13. Meldung an Behörden

Im Falle eines schwerwiegenden Sicherheitsvorfalls:

  • Information an zuständige Behörden (CERT.at / GovCERT Austria)
  • Information an betroffene Kunden
  • Frühwarnung an zuständige CSIRT/Behörde innerhalb von 24 Stunden nach Kenntnisnahme
  • Detaillierter Bericht innerhalb von 72 Stunden, sofern CRA-meldepflichtig
  • laufende Updates bei wesentlichen Änderungen

14. Änderungen

Diese Richtlinie kann jederzeit aktualisiert werden.
Die jeweils aktuelle Version ist auf dieser Seite verfügbar.
Änderungen erfolgen unter Berücksichtigung der jeweils gültigen Anforderungen des EU Cyber Resilience Act (CRA).