Sicherheit

MS Electronics GmbH begrüßt verantwortungsvolle Sicherheitsforschung an unseren Produkten und Diensten. Diese Seite beschreibt, wie Sie uns Sicherheitslücken melden können und welche Verpflichtungen wir im Gegenzug eingehen. Sie erfüllt die Anforderungen an einen Coordinated Vulnerability Disclosure (CVD) Prozess gemäß Artikel 3.3(d) der EU-Funkanlagen-Richtlinie 2014/53/EU in Verbindung mit der harmonisierten Norm EN 18031-1:2024 (Mechanismus M-SUM-1).

1. Geltungsbereich

Diese Richtlinie gilt für alle von MS Electronics GmbH in Verkehr gebrachten Produkte und die zugehörigen Dienste, insbesondere:

  • Fencyv6+ (alle Varianten und Artikelnummern)
  • zugehörige Smartphone-Apps und Web-Portale (z. B. webv6.wz247.at)
  • Cloud-Dienste, Firmware-Update-Endpunkte und Schnittstellen
  • Folge- und Nachfolgeprodukte der Fency-Familie

2. Meldungsweg

Bitte richten Sie Sicherheitsmeldungen ausschließlich an:

E-Mail: j.filzmaier@ms-electronics.at
PGP Key: siehe Abschnitt 7 unten und /.well-known/security.txt
Sprachen: Deutsch oder Englisch

Bitte senden Sie Sicherheitsmeldungen nicht an unsere allgemeinen Vertriebs- oder Support-Kanäle. Verwenden Sie für vertrauliche Inhalte den oben veröffentlichten PGP-Schlüssel.

3. Inhalt einer guten Meldung

Damit wir Ihre Meldung schnell triagieren können, helfen uns folgende Angaben:

  • betroffenes Produkt, Modell- bzw. Artikelnummer und (falls bekannt) Firmware-Version
  • technische Beschreibung der Schwachstelle und ihrer Auswirkung
  • Schritte zur Reproduktion, idealerweise mit Proof-of-Concept
  • Ihre Einschätzung des Schweregrads und Ihre Vorstellungen zum Veröffentlichungs-Zeitplan
  • Ihre Kontaktinformationen und ob Sie als Entdecker:in genannt werden möchten

4. Unsere Verpflichtungen

Wir verpflichten uns zu folgenden Reaktionszeiten:

  • Eingangsbestätigung innerhalb von 5 Arbeitstagen
  • Erste Triage und Schweregrad-Einschätzung innerhalb von 30 Tagen
  • Behebung oder mindestens Mitigation innerhalb von 90 Tagen für Schwachstellen mit hohem oder kritischem Schweregrad; sollten technische Gründe eine längere Frist erfordern, stimmen wir uns mit der meldenden Person ab
  • regelmäßige Status-Updates während der Bearbeitung
  • kostenfreie Bereitstellung von Sicherheits-Updates für mindestens 5 Jahre ab Markteinführung des betroffenen Produkts (gemäß Artikel 13(8) der EU-Cyber-Resilience-Act-Verordnung 2024/2847)

5. Safe Harbour

MS Electronics GmbH verfolgt keine zivil- oder strafrechtlichen Schritte gegen Sicherheitsforscher:innen, die nach den Grundsätzen einer verantwortungsvollen Offenlegung handeln und insbesondere

  • ihre Tests auf eigene Geräte oder ausdrücklich genehmigte Test-Umgebungen beschränken,
  • weder personenbezogene Daten Dritter abrufen, kopieren oder verändern noch Dienste für andere Nutzer:innen unterbrechen,
  • uns die gefundenen Schwachstellen vor jeder Veröffentlichung in angemessener Frist zur Behebung melden, und
  • geltendes Recht beachten.

6. Veröffentlichung

Nach Behebung einer bestätigten Sicherheitslücke veröffentlichen wir in der Regel ein Sicherheits-Advisory mit Beschreibung, betroffenen Versionen, Behebungsversion und – wo passend – einer CVE-Nummer. Eine vorgängige Veröffentlichung der meldenden Person stimmen wir typischerweise innerhalb eines 90-Tage-Embargos ab.

7. PGP-Schlüssel

Verwenden Sie für vertrauliche Meldungen bitte den unten stehenden PGP-Schlüssel. Der Fingerprint lautet:

E786 3AAF 6192 E4BD FED2   971B 13B5 9EB3 60A8 E356

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=u00I
-----END PGP PUBLIC KEY BLOCK-----

Der Schlüssel ist auch direkt unter /.well-known/pgp-key.asc abrufbar (zum Importieren via gpg --import). Gültig bis 24. April 2031.

8. Maschinenlesbare Version

Eine Maschinen-lesbare Version dieser Richtlinie nach RFC 9116 ist unter /.well-known/security.txt abrufbar.

9. Kontakt für nicht-sicherheitsrelevante Anliegen

Allgemeine Anfragen, Garantie- und Support-Themen richten Sie bitte an info@ms-electronics.at.