Richtlinie zur verantwortungsvollen Offenlegung von Sicherheitslücken
Herausgeber: INSTAR Deutschland GmbH
Auf der Hostert 17, 65510 Hünstetten, Deutschland
Gültig ab: 16.06.2025
Version: 1.0
Kontakt für Sicherheitsmeldungen:
support@instar.com
1. Zweck
Diese Richtlinie beschreibt, wie externe Sicherheitsforscher Schwachstellen in allen Produkten (Hardware und Software), Diensten und Infrastrukturen der INSTAR Deutschland GmbH sicher und verantwortungsvoll melden können. Ziel ist es, potenzielle Risiken für unsere Kundschaft, Partner und Mitarbeitenden schnell zu erkennen und zu beheben, ohne dass Melder*innen rechtliche Nachteile befürchten müssen.
2. Geltungsbereich
- Alle veröffentlichten Hardware-Produkte von INSTAR (z. B. IP-Kameras, Alarmanlagen, Smart-Home-Zubehör) einschließlich ihrer Firmware und eingebetteten Software
- Cloud- und Backend-Dienste, die von INSTAR bereitgestellt oder betrieben werden
- Alle öffentlich erreichbaren Web-Anwendungen, APIs und Dienste unter den Domains www.instar.com, cloud.instar.de, wiki.instar.com und forum.instar.com
- Mobile Apps von INSTAR für iOS, iPadOS, Android und Windows
- Unternehmens-Websites und Subdomains
Ausgenommen sind interne Systeme, für die keine ausdrückliche Testfreigabe erteilt wurde.
3. Safe Harbor („Legal Safe Harbor“)
INSTAR Deutschland GmbH verpflichtet sich, keine zivil- oder strafrechtlichen Schritte gegen Personen einzuleiten, die:
- diese Richtlinie befolgen,
- Schwachstellen ohne böse Absicht melden und
- keine Daten absichtlich verändern, löschen oder veröffentlichen.
Handlungen, die über das in dieser Richtlinie Erlaubte hinausgehen, können rechtliche Konsequenzen haben.
4. Meldeweg
Bitte verwenden Sie ausschließlich einen der folgenden Kanäle:
| Kanal | Details |
|---|---|
| support@instar.com |
Inhalt einer Meldung
- Beschreibung der Schwachstelle mit reproduzierbaren Schritten
- Betroffene Produktversion, URL oder Systemkomponente
- Auswirkung (möglicher Schaden)
- Ggf. Screenshots, Proof-of-Concept-Code oder Logs
- Kontaktinformationen für Rückfragen
5. Offenlegungsverfahren
- Bestätigung (T + 1 Werktag): Wir bestätigen den Eingang Ihrer Meldung.
- Erste Bewertung (≤ 7 Tage): Wir prüfen die Schwachstelle und legen eine Schweregradstufe fest.
- Behebung: Wir arbeiten mit Priorität an einem Fix und informieren Sie über den Fortschritt.
- Koordinierte Veröffentlichung: Nach Behebung können wir gemeinsam eine öffentliche Mitteilung abstimmen.
- Dank & Anerkennung: Auf Wunsch nennen wir Ihren Namen bzw. Alias in unserem Hall of Fame.
6. Nicht gestattete Aktivitäten („Out of Scope“)
- Physische Angriffe auf Gebäude oder Hardware
- Social-Engineering gegen Mitarbeitende oder Kundschaft
- DDoS, Spam oder automatisiertes Scanning ohne Rate-Limit
- Diebstahl oder Zerstörung von Daten
- Nutzung externer Schwachstellen, die bereits veröffentlicht wurden
7. Belohnungen (optional)
Die INSTAR Deutschland GmbH bietet derzeit kein Bug-Bounty-Programm an. Für besonders hilfreiche Meldungen vergeben wir jedoch öffentliche Anerkennung und ggf. ein Dankeschön-Paket.
8. Datenschutz & Vertraulichkeit
Alle im Rahmen einer Meldung erhobenen personenbezogenen Daten werden ausschließlich zur Bearbeitung der Schwachstelle verwendet und anschließend gelöscht bzw. anonymisiert.
9. Rechtliche Hinweise
Diese Richtlinie begründet keine vertragliche Beziehung. Änderungen der Richtlinie können jederzeit vorgenommen werden und werden auf dieser Seite veröffentlicht.
10. Versionshistorie
| Datum | Version | Änderungen |
|---|---|---|
| 16.06.2025 | 1.0 | Erste Veröffentlichung |
Letzte Aktualisierung: 16.06.2025