Letzte Änderung am: 03.02.2025
Einleitung
Daikin Europe N.V. („DENV“) ist eine hundertprozentige Tochtergesellschaft des japanischen Unternehmens Daikin Industries Ltd. Geschäftsgegenstand der Daikin Group sind Herstellung, Vertrieb, Auslieferung und Vermarktung von Ausrüstungen und Dienstleistungen auf den Gebieten Klimatisierung, Heizung, Lüftung und Kälteerzeugung, auch in Zusammenarbeit mit seinen Tochtergesellschaften.
Daikin Europe N.V. und seine Tochtergesellschaften (im Folgenden als die „Daikin Europe Group“ bezeichnet) ist zur Sicherstellung von Gefahrlosigkeit und Integrität seiner Produkte, Systeme, Services und Anwendungen (im Folgenden als „Assets“ bezeichnet) und zum Schutz von Daten, einschließlich personenbezogener Daten, und Privatsphäre der Endanwender sowie zur Verhinderung jeglicher negativer Auswirkungen auf Netzwerkfunktionalitäten und Missbrauch von Netzwerkressourcen verpflichtet.
Zweck dieser Richtlinie
Diese Richtlinie verfolgt die folgenden Zwecke:
- Motivierung zur verantwortungsvollen Offenlegung jeglicher potenzieller Schwachstellen, die an den Assets der Daikin Europe Group erkannt wurden, und
- Einrichten eines Prozesses zum Melden von Sicherheitsproblemen an die Daikin Europe Group und die unmittelbare, wirkungsvolle und gesetzeskonforme Beseitigung solcher Probleme²
Zielgruppe
Zum Melden von Schwachstellen berechtigte Personen sind unter anderem Sicherheitsforscher, Endanwender, unabhängige Fachleute, Geschäftspartner in Industrie und Gewerbe und Mitglieder der Allgemeinheit (im Folgenden als „Meldender“ bezeichnet). Die Daikin Europe Group empfiehlt vor dem Melden einer Schwachstelle das vollständige Durchlesen dieser Richtlinie zum Melden und Offenlegen von Schwachstellen und das genaue Einhalten dieser Richtlinie.
Die Daikin Europe Group schätzt die Beiträge aller Beteiligten zur Sicherstellung der Gefahrlosigkeit der Assets der Daikin Europe Group. Die Daikin Europe Group kann jedoch keinerlei finanzielle Vergütung für die Offenlegung von Schwachstellen gewähren.
Anwendungsbereich
Diese Richtlinie zum Melden und Offenlegen von Schwachstellen gilt für alle Assets, bei denen im Fall einer Kompromittierung die potenzielle Gefahr einer Schädigung der Daikin Europe Group
oder die Gefahr negativer Auswirkungen auf die Tätigkeit der Daikin Europe Group besteht. Dies umfasst, ohne jedoch darauf beschränkt zu sein, alle von der Daikin Europe Group hergestellten und/oder gelieferten Produkte sowie digitale Assets, Anwendungen von Drittanbietern und IT-Infrastruktur, die innerhalb des Unternehmensumfelds der Daikin Europe Group genutzt werden.
Meldung
Solltest du eine Schwachstelle entdecken, melde diese bitte der Daikin Europe Group an die folgende Adresse: vulnerability@daikineurope.com
Füge in die Meldung einer Schwachstelle bitte die folgenden Angaben ein:
- Name(n) oder Kennung(en) der betroffenen Assets und/oder Angaben, die eine Identifizierung der betroffenen Assets ermöglichen
- Beschreibung der Schwachstelle, auch Angaben dazu, wie die Schwachstelle erkannt oder reproduziert werden kann
- Mögliche Auswirkungen der Schwachstelle
- Code des Machbarkeitsnachweises (falls vorhanden) oder sonstige Belege, die Schritte vorgeben, mit denen die Schwachstelle reproduziert werden kann
- Kontaktangaben zum Meldenden (Angabe personenbezogener Daten4 ist nicht erforderlich)
Bestätigung des Eingangs der Meldung
Nach Eingang der Meldung einer Schwachstelle bestätigt das Vulnerability Response Team (Team zur Reaktion auf Schwachstellen) der Daikin Europe Group innerhalb von 7 Arbeitstagen dem Meldenden den Eingang der Meldung.
Diese Eingangsbestätigung enthält eine Nachverfolgungsnummer oder eine Kennung als Referenz. Sind zur Untersuchung der gemeldeten Schwachstelle weitere Angaben erforderlich, wird dies dem Meldenden vom Vulnerability Response Team mitgeteilt.
Untersuchung
Das Vulnerability Response Team der Daikin Europe Group leitet eine organisationsinterne Untersuchung ein, um sicherzustellen, dass jede einzelne gemeldete Schwachstelle sachgerecht auf tatsächliches Vorhandensein, Schweregrad und Umfang bewertet wird.
Der Daikin Europe Group ist die Wichtigkeit von Transparenz und Zusammenarbeit bei der wirkungsvollen Bewältigung gemeldeter Sicherheitsschwachstellen bewusst. Daher hält das Vulnerability Response Team den Meldenden während der laufenden Untersuchung regelmäßig bezüglich des Verlaufs der Untersuchung auf dem neuesten Stand, einschließlich ggf. vorliegender Erkenntnisse und weiterer Entwicklungen.
Korrekturmaßnahmen
Falls die Daikin Europe Group der Auffassung ist, dass eine Schwachstelle durch Anwenden eines Patches, einer Änderung der Konfiguration oder einer sonstigen Abhilfemaßnahme (eines oder mehrerer „Fixes“) abgehandelt und beseitigt werden muss, damit Gefahren beseitigt oder entschärft werden, werden diese Fixes von der Daikin Europe Group und/oder von ihren externen Lieferanten erstellt. Fixes werden so gestaltet, dass die erkannte Schwachstelle behoben wird, ohne dass die Funktionalität oder die Brauchbarkeit des betroffenen Assets beeinträchtigt wird.
Nachdem Fixes entwickelt und auf Wirksamkeit getestet wurden, werden diese Fixes über die üblichen Kanäle bereitgestellt, je nach Natur der Schwachstelle z. B. durch Over-the-Air-Updates, Firmwareupdates, Softwarepatches usw. Bei Notwendigkeit werden die Geschäftspartner, wie Wiederverkäufer und Installateure, der Daikin Europe Group über sämtliche von diesen Geschäftspartnern auszuführenden Maßnahmen informiert. Solche Maßnahmen können Unterstützung bei der Bereitstellung von Patches an Endanwender oder Anleitungen zur Anwendung von Patches sein.
Im Anschluss an die Beseitigung gemeldeter Schwachstellen nimmt die Daikin Europe Group Post-mortem-Analysen vor, in denen die Wirksamkeit des Reaktionsprozesses bewertet und Bereiche mit Verbesserungsmöglichkeiten benannt werden. Zur stetigen Verbesserung der Prozesse zur Beseitigung von Schwachstellen werden die im Rahmen jeder einzelnen Maßnahme zur Beseitigung einer Schwachstelle gewonnenen Erkenntnisse dokumentiert und in zukünftige Reaktionsverfahren eingearbeitet.
Der Meldende wird über die Bereitstellung von Fixes und alle sonstigen Schritte zur Beseitigung der Schwachstelle informiert.
Vertrauliche Behandlung und Offenlegung von gemeldeten Schwachstellen
Die Daikin Europe Group ist gegenüber ihren Kunden und Endanwendern zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen verpflichtet. Im Anschluss an eine vollumfängliche Untersuchung einer Schwachstelle legt die Daikin Europe Group einen sachgerechten Offenlegungsplan fest, z. B. eine Mitteilung über die Verfügbarkeit von Fixes und Anleitungen zur Anwendung dieser Fixes. Das Vulnerability Response Team unterrichtet den Meldenden entsprechend. Das Ziel besteht darin sicherzustellen, dass die Betroffenen über ernsthafte Sicherheitsrisiken informiert werden und Anleitungen zur Beseitigung dieser Risiken erhalten.
Der Daikin Europe Group sind die mit einer voreiligen Offenlegung von Schwachstellen verbundenen Gefahren bewusst. Aus diesem Grund hebt die Daikin Europe Group gegenüber Meldenden hervor, dass eine solche Offenlegung eine erhebliche Sicherheitsbedrohung darstellt, solange die Schwachstelle noch nicht behoben ist, insbesondere für Endanwender der betroffenen Assets.
Eine voreilige Offenlegung kann einer Ausnutzung durch Böswillige Vorschub leisten. Aus diesem Grund verlangt die Daikin Europe Group, dass Meldende von potenziellen Schwachstellen striktes Stillschweigen bewahren und nur dann Informationen über die verdächtige Schwachstelle an Dritte weitergeben, wenn eine schriftliche Genehmigung der Daikin Europe Group vorliegt oder eine gesetzliche Pflicht dazu besteht.
Richtlinien zum ethischen Hacking
Berichtenden ist Folgendes UNTERSAGT:
- Illegale Aktivitäten: Unterlasse jegliche Aktivitäten, die gegen geltende Gesetze und Bestimmungen verstoßen.
- Zugriff auf große Datenmengen: Beschränke den Datenzugriff auf den für die Untersuchung erforderlichen Umfang.
- Verändern von Daten: Unterlasse jegliche Änderung jeglicher Daten in den Systemen der Organisation.
- Zerstörerisches Testen: Verwende keine Tools, die zu Schäden oder Störungen an Systemen der Organisation führen könnten.
- Denial-of-Service-Angriffe: Versuche nicht, Services zu überlasten oder unmöglich zu machen.
- Verursachen von Störungen: Unterlasse Handlungen, die Abläufe in der Organisation stören könnten.
- Triviale oder nicht ausnutzbare Schwachstellen: Melde keine Schwachstellen, die nicht ausgenutzt werden können oder lediglich kleinere Konfigurationsprobleme darstellen.
- Schwache TLS-Konfiguration: Melde Schwachstellen, die durch schwache TLS-Konfigurationen verursacht werden, möglichst nur dann, wenn diese Schwachstellen ein signifikantes Sicherheitsrisiko darstellen.
- Eigenmächtige Weitergabe von Informationen: Lege Schwachstellen ausschließlich gegenüber dem benannten Sicherheitsteam und nur über die vorgegebenen Kanäle offen.
- Social Engineering oder physische Angriffe: Versuche nicht, Personal oder Infrastruktur der Organisation zu täuschen oder physisch zu schädigen.
- Erpressung: Verlange keine Bezahlung für die Offenlegung von Schwachstellen.
Berichtende sind zu Folgendem VERPFLICHTET:
- Datenschutz: Halte den Schutz der Daten der Nutzer und des Personals der Daikin Europe Group ein.
- Datensicherheit: Bewahre sämtliche im Rahmen der Untersuchung erlangten Daten sicher auf.
- Zeitnahes Löschen der Daten: Lösche Daten sofort, sobald die Daten nicht mehr benötigt werden. In besonderen Ausnahmefällen, in denen eine sofortige Löschung technisch nicht machbar oder gesetzlich untersagt ist (z. B. aufgrund vorhandener Sicherungskopien oder Aufbewahrung aufgrund zu erwartender Rechtsstreitigkeiten), sind die Daten innerhalb eines Monats nach Beseitigung der Schwachstelle zu löschen. Diese einmonatige Frist stellt die absolute Obergrenze des Aufbewahrungszeitraums dar. Es sind alle möglichen Anstrengungen zu unternehmen, dass die Daten so zeitig wie möglich gelöscht werden können.
Hinweis
Diese Richtlinie zum Melden und Offenlegen von Schwachstellen wird regelmäßig überarbeitet und aufgrund sich verändernder Technologien, Gesetze und/oder Best Practices entsprechend aktualisiert oder ergänzt.