Gemeinsam für ein sicheres Smart Home

Schwachstelle melden
 

Transparenz und Zusammenarbeit für maximale Sicherheit

Die Sicherheit unserer Produkte und Cloud-Dienste hat oberste Priorität. Durch verantwortungsbewusstes Melden potenzieller Schwachstellen leisten Sie einen wertvollen Beitrag zur kontinuierlichen Verbesserung unserer Systeme. Unsere Infrastruktur wird laufend überprüft und weiterentwickelt, um aktuellen Sicherheitsanforderungen gerecht zu werden. Ziel ist es, mögliche Risiken frühzeitig zu erkennen, transparent zu kommunizieren und konsequent zu beheben. Auf diesem Weg bauen wir Vertrauen auf – für ein geschütztes und komfortables Smart Home-Erlebnis.

Warum eine Vulnerability Disclosure Policy?

Eine Vulnerability Disclosure Policy (VDP) stellt klare Regeln und Abläufe für die Meldung von Sicherheitslücken bereit. Sie schafft Vertrauen, indem sie Transparenz im Umgang mit sicherheitsrelevanten Themen fördert. 

Für Homematic IP ist diese Policy ein zentrales Element, um die Sicherheit von Produkten und Diensten kontinuierlich zu verbessern und Risiken frühzeitig zu erkennen. Gleichzeitig zeigt sie potenziellen Meldern auf, wie ihre Hinweise verarbeitet werden und welche Erwartungen auf beiden Seiten bestehen. 

Eine VDP ist damit ein wichtiger Bestandteil einer verantwortungsvollen Sicherheitskultur.

Wie Sie eine Schwachstelle melden können.

Im Folgenden finden Sie alle Informationen zu Meldewegen, notwendigen Angaben sowie unserem weiteren Vorgehen bei der Bearbeitung eingehender Hinweise. Damit stellen wir sicher, dass Ihre Meldung schnell beim richtigen Ansprechpartner landet und zeitnah in unsere Sicherheitsprozesse eingebunden werden kann.

  • E-Mail: security@eq-3.com
  • security.txt: Unsere Kontaktdaten sind auch unter /.well-known/security.txt abrufbar.

Erforderliche Angaben:

  • Betroffenes Produkt oder Dienst
  • Beschreibung der Schwachstelle
  • Schritte zur Reproduktion
  • Falls möglich: Technische Details oder Proof of Concept

Reaktionszeiten & Ablauf:

  • Eingangsbestätigung innerhalb von 5 Werktagen
  • Analyse & Priorisierung der Meldung (Bewertung nach CVSS-Standard)
  • Kommunikation über den Fortschritt
  • Behebung der Schwachstelle & Veröffentlichung eines Security-Advisory (falls erforderlich)

Für alle Homematic IP Produkte wird eine sicherheitsrelevante Software-Update-Versorgung über einen Zeitraum von mindestens fünf Jahren ab Verkaufsstart sichergestellt. Diese Maßnahme erfolgt im Einklang mit den Anforderungen der EU-Verordnung  (Cyber Resilience Act) zur Gewährleistung der Cybersicherheit vernetzter Produkte.

Der genannte Zeitraum bezieht sich auf sicherheitsrelevante Updates. Funktionale Erweiterungen sind davon nicht umfasst.

Safe-Harbor-Richtlinie – Schutz für verantwortungsbewusste Meldungen

Wir unterstützen verantwortungsbewusstes Offenlegen von Schwachstellen. Wer sich an unsere Regeln hält, kann sich auf einen fairen und transparenten Ablauf verlassen. Dabei ist uns bewusst, dass viele Personen, die Schwachstellen identifizieren, nicht nur über technisches Know-how verfügen, sondern auch ein hohes Verantwortungsbewusstsein zeigen. Ihr Beitrag trägt maßgeblich dazu bei, unsere Systeme sicherer und robuster zu machen.

Unser Ziel ist es daher, diesen Einsatz aktiv zu fördern, mögliche Barrieren abzubauen und ein Umfeld zu schaffen, das konstruktive Rückmeldungen unterstützt. Wir setzen uns dafür ein, dass Hinweise offen entgegengenommen, sachlich bewertet und nachvollziehbar bearbeitet werden. Gleichzeitig möchten wir Sicherheit und Vertrauen schaffen – sowohl für die meldende Person als auch für alle Nutzerinnen und Nutzer unserer Systeme.

Wichtige Hinweise:

  • Keine Durchführung von Angriffen auf unsere Systeme (z. B. DDoS, Social Engineering).
  • Tests ausschließlich auf Systemen, für die Sie berechtigt sind.
  • Keine Veröffentlichung sensibler Informationen ohne vorherige Abstimmung.