Zum Inhalt springen
Zur Navigation springen
Zum Footer springen

Product Security (PSIRT) — Richtlinie zur verantwortungsvollen Offenlegung von Sicherheitslücken

Richtlinie zur verantwortungsvollen Meldung von Sicherheitslücken

Die ifp Software GmbH (oee.ai) nimmt die Sicherheit ihrer Produkte und Dienste ernst. Unser Product Security Incident Response Team (PSIRT) ist die zentrale Anlaufstelle für Sicherheitsforscher, Kunden und Partner zur Meldung möglicher Schwachstellen in unseren Produkten und Diensten. Wir begrüßen solche Hinweise und behandeln jede Meldung vertraulich.

Kontakt

Bitte melden Sie vermutete Sicherheitslücken an unsere zentrale Kontaktstelle:

psirt@oee.ai

Diese Adresse ist unser Single Point of Contact gemäß Artikel 13(17) der Verordnung (EU) 2024/2847 (Cyber Resilience Act). Wir bearbeiten Meldungen in deutscher und englischer Sprache. Anonyme Meldungen sind ausdrücklich willkommen. Für eine Meldung ist weder eine Geheimhaltungsvereinbarung (NDA) noch ein Kundenverhältnis erforderlich.

Was wir uns von einer Meldung wünschen

Damit wir schnell reagieren können, helfen uns folgende Angaben:

  • Betroffenes Produkt, Version bzw. Firmware-Stand und – falls bekannt – die Seriennummer oder Geräte-ID
  • Beschreibung der Schwachstelle und ihrer möglichen Auswirkung
  • Schritte zur Reproduktion (Proof of Concept, Logs, Screenshots)
  • Ihre Kontaktdaten für Rückfragen

Unsere Zusagen (Safe Harbor)

  • Wir bestätigen den Eingang Ihrer Meldung in der Regel innerhalb von 3 Werktagen.
  • Wir halten Sie über den Bearbeitungsstand auf dem Laufenden und informieren Sie, sobald die Schwachstelle behoben ist.
  • Wir leiten keine rechtlichen Schritte gegen Personen ein, die Schwachstellen in gutem Glauben, ohne Beeinträchtigung des Betriebs und ohne Zugriff auf fremde Daten untersuchen und uns vertraulich melden.
  • Wir bitten Sie, die Schwachstelle erst nach gemeinsamer Abstimmung und nach Bereitstellung einer Korrektur zu veröffentlichen (Coordinated Disclosure).

Was wir Sie bitten zu unterlassen

  • Kein Zugriff auf, keine Veränderung oder Löschung von Daten, die nicht Ihnen gehören
  • Keine Beeinträchtigung der Verfügbarkeit unserer Systeme oder der Systeme unserer Kunden (kein Denial of Service)
  • Keine Social-Engineering-Angriffe auf unsere Mitarbeitenden oder Kunden
  • Keine Veröffentlichung von Details vor abgestimmter Behebung

Geltungsbereich

Diese Richtlinie gilt für die von der ifp Software GmbH (oee.ai) hergestellte eigene Hardware einschließlich der darauf betriebenen Software und Firmware sowie für die zugehörigen, von uns betriebenen Online-Dienste und die Website oee.ai.

Nicht erfasst sind Produkte und Komponenten Dritter, die wir lediglich weitervertreiben oder integrieren. Schwachstellen in solchen Produkten richten Sie bitte an den jeweiligen Hersteller.

ifp Software GmbH · Stand: Juni 2026. Diese Richtlinie orientiert sich an den Grundsätzen der ISO/IEC 29147 (Vulnerability Disclosure) und wird regelmäßig überprüft und aktualisiert.