Built with Care
Hol dir 10% Rabatt & bis zu 50€ Gutscheine
Bereits Mitglied? Einloggen
Bestellstatus
Empfehlen & Verdienen

Anker Innovation Brand

\n \n
\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
\n \n
\n \n \n \n \n \n \n \n \n \n \n \n
\n\n
Bereits Mitglied? Einloggen
Sichere dir 300 eufyCredits
Sammle eufyCredits bei jedem Einkauf
Hol dir 10% Rabatt
& bis zu 50€ Gutscheine

Suche in unser Angebot

Richtlinie zur Offenlegung von Sicherheitslücken

I. Richtlinie zur Offenlegung von Sicherheitslücken

1.1 Grundsatzerklärung

Als Anbieter von Sicherheitsprodukten misst eufy der Produktsicherheit höchste Priorität bei und ist sich der Bedeutung von Datenschutz und Datensicherheit für die Nutzer voll bewusst. Wir verpflichten uns, Informationen über Sicherheitslücken auf koordinierte und verantwortungsvolle Weise zu empfangen, zu bearbeiten und offenzulegen, um die Sicherheit der Nutzer und des Produktökosystems zu schützen. Unabhängig davon, ob Sie Nutzer von eufy-Sicherheitsprodukten, Softwareentwickler, Sicherheitsforscher oder eine andere Person oder Organisation sind, die eine potenzielle Sicherheitslücke entdeckt – Sie sind ein wichtiger Teilnehmer unseres Sicherheitsökosystems.

Diese Richtlinie basiert auf ISO/IEC 30111 (Schwachstellenbearbeitung) und ISO/IEC 29147 (Schwachstellenoffenlegung) und erfüllt die gesetzlichen Anforderungen des EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847).

1.2 So melden Sie ein Sicherheitsproblem

Wenn Sie eine potenzielle Sicherheitslücke in eufy-Produkten entdecken oder einen Sicherheitsvorfall melden müssen, kontaktieren Sie uns bitte über einen der folgenden Kanäle:

  • Bevorzugter Kanal: Füllen Sie das Meldeformular auf der eufy-Schwachstellenmanagement-Seite aus
  • Zentrale Kontaktstelle (Single Point of Contact): Data_Security_and_Privacy_Committee@anker-in.com
  • Sicherheitskommunikation: Zum Schutz der Vertraulichkeit von Schwachstellendetails empfehlen wir Ihnen dringend, sensible Proof-of-Concept-Codes (PoC) oder Daten mit unserem PGP-Schlüssel (Download-Link) zu verschlüsseln, wenn Sie diese per E-Mail senden.

Wir akzeptieren die folgenden Arten von Schwachstellenmeldungen:

  • Schwachstellen in eufy-eigenem Code oder eigenen Systemen;
  • Schwachstellen in Drittanbieterkomponenten, die in eufy-Produkte integriert sind (einschließlich Open-Source-Bibliotheken, Drittanbieter-SDKs, kommerzielle Softwarekomponenten);
  • Konfigurations- oder Designfehler im Zusammenhang mit der Sicherheit von eufy-Produkten.

Wir empfehlen Meldern, die folgenden Informationen in ihren Bericht aufzunehmen (sofern zutreffend):

  • Name des betroffenen Produkts und Firmware-/Softwareversion;
  • Art und Beschreibung der Schwachstelle;
  • Schritte zur Reproduktion;
  • Einschätzung der potenziellen Auswirkungen;
  • Bekannte Gegenmaßnahmen.

1.3 Prozess zur Schwachstellenbearbeitung

Wenn wir eine Schwachstellenmeldung erhalten, ergreift eufy eine Reihe von Maßnahmen gemäß ISO/IEC 30111, um das Problem intern zu lösen. Alle gemeldeten Schwachstellen werden nach dem Common Vulnerability Scoring System 3.1 (CVSS v3.1) bewertet und priorisiert, um eine risikogerechte Ressourcenzuweisung sicherzustellen.

  • Schritt 1: eufy fordert vom Melder vertrauliche Details zur Schwachstelle an.
  • Schritt 2: eufy untersucht und validiert die Schwachstelle.
  • Schritt 3: eufy behebt die Schwachstelle und überprüft die Behebung in der gesamten eufy-Sicherheitsproduktlinie.
  • Schritt 4: eufy veröffentlicht ein OTA-Update (Over-the-Air) für eufy-Sicherheitsprodukte.
  • Schritt 5: Nach dem Update überwacht eufy die Stabilität der eufy-Sicherheitsprodukte.

Wir bestätigen den Eingang der Meldung innerhalb von 1 Werktag und führen eine erste Bewertung durch. Die Bewertung wird innerhalb von 3 Werktagen abgeschlossen, und die Schwachstelle wird behoben oder es wird ein Behebungsplan entwickelt.

Bei Schwachstellen, die umgebungs- oder hardwarebedingten Einschränkungen unterliegen, wird die endgültige Behebungszeit je nach den tatsächlichen Umständen bewertet, und eufy wird die Kommunikation mit dem Melder aufrechterhalten. Bei kritischen Schwachstellen, die nachweislich böswillig ausgenutzt werden, werden wir unseren Frühwarn- und Meldepflichten gegenüber dem zuständigen nationalen Computer Security Incident Response Team (CSIRT) und ENISA innerhalb der gesetzlich vorgeschriebenen Fristen nachkommen.

1.4 Gute Sicherheitsforschung und Safe-Harbor-Klausel

eufy unterstützt und schützt nachdrücklich gutgläubige (Good-faith) Sicherheitsforschung. Wenn Sie bei der Durchführung von Sicherheitsforschung und Schwachstellenmeldung diese Richtlinie und die geltenden Gesetze strikt einhalten, wird eufy:

  • keine rechtlichen Schritte gegen Sie empfehlen oder einleiten;
  • keine Strafverfolgungsbehörden um Ermittlungen gegen Sie ersuchen;
  • falls Dritte rechtliche Schritte gegen Ihre gutgläubige Forschung einleiten, werden wir eine Darstellung der bekannten Fakten bereitstellen, die belegt, dass Ihr Handeln im Einklang mit unserer Richtlinie zur koordinierten Schwachstellenoffenlegung steht.

Hinweis: Während Ihrer Forschung dürfen Sie nicht auf die personenbezogenen Daten anderer Nutzer zugreifen, diese ändern, zerstören oder offenlegen. Es ist Ihnen strengstens untersagt, die von eufy bereitgestellten Systemdienste zu unterbrechen (z. B. durch DoS-Angriffe).

1.5 Richtlinie zur Informationsweitergabe und Vertraulichkeit

  • Gegenseitige Vereinbarung: eufy erwartet eine offene Kommunikation mit Ihnen bezüglich des Offenlegungszeitplans. Wenn beide Parteien zustimmen, kann der Inhalt der Meldung gemäß einem einvernehmlich vereinbarten Zeitplan veröffentlicht werden.
  • Schutzoffenlegung: Wenn eufy Beweise für eine laufende Ausnutzung einer Schwachstelle oder eine unmittelbare Gefährdung der Öffentlichkeit hat, können wir der Öffentlichkeit unverzüglich Abhilfedetails zur Verfügung stellen, damit die Nutzer Schutzmaßnahmen ergreifen können.
  • Verlängerung: Aufgrund von Komplexität und anderen Faktoren kann die Behebungszeit für bestimmte Schwachstellen den Standardzeitrahmen überschreiten. In solchen Fällen kann die Meldung nicht öffentlich bleiben, um sicherzustellen, dass eufy ausreichend Zeit zur Behebung des Sicherheitsproblems hat.
  • Durch die Teilnahme am Programm erhaltene eufy-Informationen dürfen nicht aufbewahrt, kopiert oder weitergegeben werden.
  • eufy kann vor der Offenlegung sensible Informationen entfernen.
  • Für eine öffentliche Bekanntgabe über Blogs oder Konferenzen bitten Sie bitte im Voraus um Genehmigung und senden Sie den endgültigen Inhalt an Data_Security_and_Privacy_Committee@anker-in.com, um eine schriftliche Zustimmung zu erhalten.

II. Produktsicherheitssupport

2.1 Arten des technischen Sicherheitssupports

eufy bietet folgende Arten des technischen Sicherheitssupports für seine Produkte mit digitalen Elementen:

  • Kostenlose Sicherheitsupdates: Sicherheitspatches und Fehlerbehebungen, die automatisch oder manuell über Over-the-Air (OTA)-Updates kostenlos an die Nutzer verteilt werden.
  • Schwachstellenreaktion: Entgegennahme und Bearbeitung von Schwachstellen, die von Nutzern und Forschern über eine zentrale Kontaktstelle gemeldet werden.
  • Sicherheitshinweise: Veröffentlichung von Sicherheitshinweisen über die Website oder App, die Nutzer über behobene Schwachstellen (z. B. CVE-Nummern), deren Auswirkungen und erforderliche Schutzmaßnahmen informieren.

2.2 Verpflichtung zur Unterstützung von Produktsicherheitsupdates

eufy verpflichtet sich, für seine Produkte mit digitalen Elementen einen kostenlosen Sicherheitsupdate-Supportzeitraum von mindestens 5 Jahren bereitzustellen (bei Produkten mit einer erwarteten Nutzungsdauer von weniger als 5 Jahren ist der Supportzeitraum nicht kürzer als die erwartete Nutzungsdauer).

Jedes Sicherheitsupdate, das während des Supportzeitraums für Nutzer veröffentlicht wird, bleibt nach der Veröffentlichung mindestens 10 Jahre lang (oder für den verbleibenden Supportzeitraum, je nachdem, welcher Zeitraum länger ist) für Nutzer zugänglich.

III. Hinweise zu bekannten Cybersicherheitsrisiken

Bei bestimmungsgemäßer Verwendung oder vernünftigerweise vorhersehbarer Fehlanwendung können die folgenden Umstände zu erheblichen Cybersicherheitsrisiken führen. Nutzer werden gebeten, dies zu beachten:

  • Verwendung schwacher oder standardmäßiger Passwörter, die zu unbefugtem Zugriff führen können;
  • Anschluss von Geräten an unsichere Netzwerke (z. B. unverschlüsseltes öffentliches WLAN), was zu Datenabfang führen kann;
  • Nicht rechtzeitige Installation von Sicherheitsupdates, wodurch Geräte bekannten Schwachstellen ausgesetzt sein können;
  • Weitergabe von Kontozugangsdaten in nicht vertrauenswürdigen Umgebungen;
  • Zugriff auf eufy-Geräte mit Betriebssystemen oder mobilen App-Versionen, deren Sicherheitssupport abgelaufen ist.

IV. Richtlinien zur sicheren Produktnutzung

4.1 Erstkonfiguration und Sicherheitsempfehlungen für den gesamten Lebenszyklus

Während der Erstkonfiguration und des gesamten Nutzungszyklus werden folgende Maßnahmen empfohlen, um die Gerätesicherheit zu gewährleisten:

  • Legen Sie bei der Registrierung eines Kontos oder beim Ändern von Passwörtern ein sicheres Passwort fest;
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für Ihr Konto;
  • Verbinden Sie Geräte nur mit vertrauenswürdigen, WPA2/WPA3-verschlüsselten Wi-Fi-Netzwerken;
  • Es wird empfohlen, „automatische Sicherheitsupdates" zu aktivieren oder regelmäßig verfügbare Sicherheits-Firmware zu überprüfen und zu installieren.

4.2 Auswirkungen von Produktänderungen auf die Datensicherheit

Bei folgenden Änderungen am Produkt beachten Sie bitte mögliche Auswirkungen auf die Datensicherheit:

  • Kontoänderungen: Nach dem Ändern Ihres Kontopassworts wird empfohlen, den Autorisierungsstatus aller angemeldeten Geräte zu überprüfen und unbekannte Geräte zu entfernen;
  • Geräte-Reset: Das Zurücksetzen auf Werkseinstellungen löscht unwiderruflich alle lokal gespeicherten Daten auf dem Gerät; es wird empfohlen, vor diesem Vorgang Daten zu sichern;
  • Funktionsupdates: Nach der Aktivierung neuer Funktionen überprüfen Sie bitte, ob die entsprechenden Datenschutzeinstellungen Ihren Erwartungen entsprechen, und passen Sie sie bei Bedarf an.

4.3 So installieren Sie Sicherheitsupdates

Über die eufy-App (empfohlen):

  1. Öffnen Sie die eufy-App;
  2. Wählen Sie das entsprechende Gerät → "Settings" → "General";
  3. Wählen Sie "About Device";
  4. Tippen Sie auf "Check for firmware update", um zu sehen, ob Updates verfügbar sind; falls verfügbar, installieren Sie das Sicherheitsupdate sofort.

Hinweis: Stellen Sie während des Update-Vorgangs sicher, dass das Gerät mit dem Netzwerk verbunden bleibt und eine stabile Stromversorgung hat. Unterbrechen Sie die Stromversorgung oder die Netzwerkverbindung nicht manuell während des Updates.

4.4 Sichere Außerbetriebnahme des Produkts

Wenn Sie Ihr eufy-Gerät nicht mehr verwenden (z. B. Verkauf, Übertragung oder Entsorgung), befolgen Sie bitte die folgenden Schritte, um es sicher außer Betrieb zu nehmen und sicherzustellen, dass Ihre personenbezogenen Daten für andere nicht zugänglich sind:

  1. Öffnen Sie die eufy-App
  2. Wählen Sie das entsprechende Gerät → "Settings" → "General"
  3. Tippen Sie auf "Storage" → "Local Storage", dann auf "Clear", um die Löschung aller lokal gespeicherten Daten zu bestätigen
  4. Gehen Sie zurück zu "Settings" → "Remove Device", um das Gerät von Ihrem Konto zu trennen.

(Hinweis: Die Pfade in 4.3 und 4.4 können je nach App-Version in Wortlaut oder Pfad abweichen. Bitte orientieren Sie sich an den tatsächlichen Einstellungspfaden in der App. Bei Fragen wenden Sie sich bitte an unseren Kundensupport: support@anker.com)

V. Maschinenlesbare Sicherheitsrichtlinie

Um der Sicherheitsforschungs-Community und automatisierten Compliance-Scans entgegenzukommen, werden unsere Richtlinie zur Offenlegung von Sicherheitslücken und Sicherheitskontaktinformationen auch in einem standardisierten, maschinenlesbaren Format (gemäß RFC 9116) veröffentlicht. Unsere Sicherheitsrichtlinie ist in maschinenlesbarem Format unter folgender Adresse abrufbar:

https://oufyshop.shop/eu-de/.well-known/security.txt

VI. Bug-Bounty-Programm

eufy stellt die Benutzersicherheit stets an erste Stelle. Um dieses Engagement zu unterstreichen, haben wir ein Bug-Bounty-Programm eingerichtet, das Anreize für eine verantwortungsvolle Meldung von Schwachstellen schaffen soll. Wenn Ihre eingereichte Meldung in unseren definierten Annahmebereich fällt, werden wir die Prämienzahlung über die branchenführende Plattform HackerOne abwickeln, um einen sicheren, transparenten und nachvollziehbaren Zahlungs- und Verifizierungsprozess zu gewährleisten.

Detaillierte Informationen zu Prämienumfang und Regeln finden Sie unter: https://hackerone.com/eufy_security