Voith hat sich verpflichtet, ein hohes Sicherheitsniveau für alle Produkte, digitalen Dienste und unterstützenden Systeme zu gewährleisten. Unser mehrschichtiges Sicherheitskonzept gewährleistet IT-Sicherheit und Datenschutz und wird regelmäßig durch anerkannte Zertifizierungen wie ISO 27001 oder IEC 62443 validiert.

Sollten Sie ein Sicherheitsproblem oder eine Schwachstelle entdecken - sei es in unseren digitalen Diensten, Online-Plattformen oder Voith-Produkten - bitten wir Sie, uns dies verantwortungsvoll zu melden. Wir werden sofort Maßnahmen ergreifen, um das Problem so schnell wie möglich zu analysieren und zu beheben.

Wie melde ich eine Schwachstelle?

Bitte senden Sie alle relevanten Erkenntnisse per E-Mail an security@voith.com.

Alternativ können Sie uns auch telefonisch unter +49-(0)7321-37-2222 erreichen, mit dem Hinweis "Coordinated Disclosure".

Damit wir das Problem effektiv untersuchen können, bitten wir Sie, uns ausreichende Informationen zur Verfügung zu stellen, um das Problem zu reproduzieren, und uns mitzuteilen, wie wir Sie für weitere Fragen kontaktieren können. Wir bitten Sie, die Schwachstelle nicht auszunutzen, d.h. keine Daten herunterzuladen, zu verändern oder zu löschen.

Dienste und Produkte im Geltungsbereich

Der Geltungsbereich umfasst alle Voith-eigenen oder von Voith betriebenen digitalen Dienste und alle Voith-Produkte, in denen Sicherheitsschwachstellen auftreten können. Dies umfasst ausdrücklich auch produktbezogene Software, Firmware, eingebettete Systeme und angeschlossene Komponenten.

Die folgenden Domains sind im Geltungsbereich:

• *.voith.com
• *.voith.de
• *.voith.net
• *.myvoith.com
• *.voith.io
• *.voith.org

Meldungen über Dienste, die nicht von Voith betrieben werden oder für die Voith nicht verantwortlich ist, sind willkommen, fallen aber möglicherweise nicht in den Geltungsbereich dieser Richtlinie.

Qualifizierte Schwachstellen

Jede Schwachstelle mit einem glaubwürdigen Angriffsszenario, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Voith-Produkten, -Dienstleistungen oder -Informationssystemen beeinträchtigen könnte, fällt in den Geltungsbereich. Beispiele hierfür sind:

• Authentifizierungs- oder Autorisierungsprobleme
• Cross-Site-Scripting
• Ausführung von serverseitigem Code
• Sicherheitslücken in Voith-Produkten, deren Softwarekomponenten, Schnittstellen oder Kommunikationsmechanismen.

Nicht-qualifizierte Schwachstellen

Einige Meldungen fallen möglicherweise nicht in den Geltungsbereich der Richtlinie, wie z. B.:

• Bereits bekannte oder früher gemeldete Schwachstellen ("first come, first serve")
• Befunde, die aus Aktivitäten resultieren, die gegen geltende Gesetze oder Compliance-Regeln verstoßen
• Schwachstellen in Sandbox- oder Testdomänen ohne nachweisbare Auswirkungen
• Offenlegung von Versionen ohne Auswirkung oder allgemeines E-Mail-Spoofing.

Was wir versprechen​

Wir informieren Sie über den Eingang Ihrer Meldung und halten Sie über die relevanten Ergebnisse der internen Bearbeitung auf dem Laufenden.​

Wir werden so schnell wie möglich geeignete Gegenmaßnahmen ergreifen, um die gemeldete Sicherheitslücke zu schließen.​

Wir werden Ihre Meldung und die damit verbundenen Informationen streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.​

Wir werden keine rechtlichen Schritte gegen Sie einleiten. Dies gilt nicht in Fällen von erkennbaren kriminellen oder nachrichtendienstlichen Absichten.​

Der Meldende wird nach seinen Fähigkeiten beurteilt und nicht nach persönlichen Aspekten wie Alter, Geschlecht, Herkunft, Bildung oder sozialem Rang.​

Diesen Respekt und die Dankbarkeit zeigen wir jedem Reporter, indem wir die geschlossene Schwachstelle in der entsprechenden Dokumentation oder Nachricht des betreffenden Artikels dokumentieren. Wenn Sie möchten, können Sie dies auch unter Angabe Ihres Namens (oder Alias) tun.​

Wir haben derzeit kein Bug Bounty Programm.  Es besteht ausdrücklich kein Rechtsanspruch auf eine Belohnung. Die Entscheidung hierüber liegt im alleinigen Ermessen von Voith.​

gezeichnet,​

Voith GmbH & Co. KGaA​