The KEBA headquarters in Linz, a modern office building with an illuminated logo and green light trails in the foreground.

Richtlinie zur Meldung von Sicherheitslücken

Zusicherungen des Herstellers gegenüber der meldenden Person

Solange sich Meldende an unsere Richtlinie und den darin definierten Geltungsbereich halten, gibt die KEBA Group folgende Zusicherungen:

  • Wenn Sicherheitsforschung gemäß dieser Richtlinie durchgeführt wird, betrachten wir diese Aktivitäten als autorisiert, rechtmäßig, im Sinne der allgemeinen IT-Sicherheit unserer Produkte, Kund:innen und Nutzer:innen hilfreich und in gutem Glauben durchgeführt. Wir werden keine zivilrechtlichen Schritte einleiten oder keine Anzeige bei Strafverfolgungsbehörden erstatten, wenn Verstöße gegen diese Richtlinie unabsichtlich und in gutem Glauben erfolgen. Forschende sind verpflichtet, alle geltenden Gesetze einzuhalten. Bei Unklarheiten, ob eine geplante Aktivität mit dieser Richtlinie übereinstimmt, sollte vorab ein Bericht eingereicht werden.

  • Wir stellen sicher, dass jede gemeldete Sicherheitslücke mit höchster Vertraulichkeit behandelt wird. Informationen über den Bericht oder die meldende Person werden nur mit ausdrücklicher Zustimmung der meldenden Person und unter Einhaltung der DSGVO an Dritte weitergegeben oder veröffentlicht.

  • Wir bemühen uns, innerhalb von fünf Arbeitstagen auf den erstmaligen Bericht zu antworten.

Anforderungen an gültige Sicherheitslücken

Damit eine gemeldete Sicherheitslücke als gültig anerkannt wird, muss der Bericht die folgenden Kriterien erfüllen:

  • Die Schwachstelle muss mindestens eines der Produkte oder die Infrastruktur der KEBA Group betreffen.

  • Die Schwachstelle muss sich auf öffentlich noch nicht bekannte Informationen beziehen.

  • Meldungen dürfen nicht ausschließlich das Ergebnis automatisierter Tools oder Scans ohne begleitende Dokumentation sein. E-Mails, bei denen wir vermuten, dass sie automatisch generiert wurden, werden nicht beantwortet.

Verhaltenskodex für meldende Personen
(Code of Conduct)

Auch wenn wir alle gemeldeten Sicherheitslücken sorgfältig prüfen und nach bestem Wissen behandeln, bitten wir Sie, sich an die folgenden Richtlinien zu halten:

  • Sicherheitslücken dürfen nicht über einen Proof of Concept (PoC) hinaus ausgenutzt werden. Jeder Angriff ist sofort zu beenden, sobald der PoC erfolgreich demonstriert wurde.

  • Es dürfen keine Out-of-Scope-Angriffstypen verwendet und keine Out-of-Scope-Testobjekte angegriffen werden. Die entsprechenden Listen finden Sie weiter unten.

  • Es dürfen keine Daten verändert, manipuliert, gelöscht oder entwendet werden.

  • Es dürfen keine Exploit-Tools oder Skripte zur Ausnutzung der Schwachstelle angeboten oder verbreitet werden.

Folgende Angriffstypen sind ausdrücklich Out-of-Scope:

  • Social Engineering
  • Phishing
  • (D)DoS-Angriffe

Folgende Testobjekte sind ausdrücklich Out-of-Scope:

  • Jegliche Netzwerkinfrastruktur der KEBA Group

Sollte eine dieser Richtlinien versehentlich verletzt worden sein, bitten wir darum, sofort Kontakt mit uns aufzunehmen, damit wir gemeinsam mögliche Auswirkungen beheben können.
Solange kein böswilliges Verhalten vermutet wird, gelten weiterhin die in den „Zusicherungen“ beschriebenen Garantien.

Ablauf der Bearbeitung von Sicherheitsmeldungen:

Um volle Transparenz zu gewährleisten, möchten wir erläutern, wie der Prozess zur Meldung und Bearbeitung von Sicherheitslücken in der Regel abläuft und welche Kriterien das Ende des Prozesses bestimmen:

  • Nach Erhalt einer Meldung versuchen wir, diese so schnell wie möglich zu bewerten und innerhalb von 5 Arbeitstagen eine erste Rückmeldung an die meldende Person zu geben.

  • Innerhalb von 10 Arbeitstagen streben wir eine detailliertere Antwort an. In dieser informieren wir auch darüber, ob der Bericht akzeptiert wurde und weitere Schritte geplant sind.

  • Eine Rückkommunikation kann erforderlich sein, wenn:

    • Wir zusätzliche Informationen von der meldenden Person benötigen.

    • Die meldende Person Status-Updates anfordert – was ausdrücklich erwünscht ist.

  • Der Prozess gilt als abgeschlossen, wenn einer der folgenden Fälle eintritt:

    • Der Inhalt des Berichts wird als unbegründet eingestuft.

    • Die gemeldete Schwachstelle wurde behoben, verringert oder die relevanten Informationen wurden den betroffenen Kund:innen zugänglich gemacht.

    • Eine Advisory (Sicherheitsmitteilung) wurde veröffentlicht, jedoch ist keine Behebung oder Verringerung geplant – diese Entscheidung erfolgt in Abstimmung mit dem CSIRT.

  • Sobald wir den Prozess auf unserer Seite als abgeschlossen betrachten, wird die meldende Person entsprechend informiert.

Letzte Änderung: 23.10.2025

Standorte

Unternehmen

Über KEBA Innovationen Werte & Verantwortung Compliance

Geschäftsfelder

Industrial Automation Handover Automation Energy Automation Produkte & Services

Newsroom

News Presse-Kontakt Messen & Veranstaltungen

Karriere

Stellenangebote Arbeiten bei KEBA Lehre & Ausbildung Praktika & Abschlussarbeiten Bewerbungsportal

Kontakt

Kontaktformular Service & Support Einkauf Lieferantenregistrierung KEBA Standorte weltweit
linkedin Instagram facebook youtube

© KEBA

KEBA Dataspace Impressum AGB Datenschutz Barrierefreiheitserklärung Sitemap
Wählen Sie Ihre Sprache aus
Ihr Browser ist veraltet
Internet Explorer wird nicht mehr unterstützt. Bitte wechseln Sie zu einem aktuellen Browser, um keba.com im vollen Umfang nutzen zu können.

Edge

Chrome

Safari

Firefox