Richtlinie zur Offenlegung von Sicherheitslücken (VDP)

GPS Gesellschaft für Produktionssysteme GmbH

Gültig ab: 29. Mai 2026 | Version: 1.0

1. Einleitung

Die GPS Gesellschaft für Produktionssysteme GmbH („GPS“) nimmt die Sicherheit ihrer Produkte und Dienste ernst. Wir begrüßen und ermutigen Sicherheitsforscher, Kunden und alle anderen Beteiligten, potenzielle Sicherheitslücken in unseren Produkten verantwortungsvoll zu melden. Diese Policy beschreibt, wie Sie Schwachstellen melden können, was Sie von uns erwarten dürfen und welche Produkte im Scope liegen.

2. Scope — Betroffene Produkte und Dienste

Diese VDP gilt für alle Produkte und Dienste der GPS GmbH mit digitalen Elementen, insbesondere:
  • SICON.OS — Edge-Software-Plattform
  • SICON.PLUG — IoT-Sensorhardware inkl. Firmware
  • SICON.HW P50 — Edge-Gateway inkl. Software
  • VacuumAI — KI-basierte Analyse-Plattform (OnCloud, OnPrem, OnBox)
  • MachineIQ — Maschinenüberwachungs-Plattform
  • FactoryDataHub — UNS/MQTT-Datenplattform
  • sicon.eco — Webpräsenz und zugehörige Online-Dienste
  • shop.sicon.eco — Online-Shop
Nicht im Scope: Produkte und Dienste der J. Schmalz GmbH (Muttergesellschaft) sowie Drittanbieter-Komponenten, die nicht unter GPS-Verantwortung stehen. Schwachstellen in Drittanbieter-Komponenten, die in GPS-Produkten eingesetzt werden (z. B. Open-Source-Bibliotheken), sind im Scope, sofern die Schwachstelle über ein GPS-Produkt ausnutzbar ist.

3. Meldung einer Schwachstelle

Kontakt: security@gps-stuttgart.de Bitte senden Sie Ihre Meldung per E-Mail. Beschreiben Sie:
  1. Betroffenes Produkt — Name, Version, Deployment-Variante (OnCloud/OnPrem/OnBox)
  2. Beschreibung der Schwachstelle — Was ist das Problem? Welche Auswirkung hat es?
  3. Reproduktionsschritte — Wie kann die Schwachstelle nachvollzogen werden?
  4. Auswirkung — Welchen Schaden könnte ein Angreifer verursachen? (z. B. Datenzugriff, Denial-of-Service, Code-Ausführung)
  5. Ihre Kontaktdaten — Damit wir Rückfragen stellen können (optional, anonyme Meldungen werden akzeptiert)
Sprachen: Deutsch und Englisch.

4. Unser Versprechen an Sie (Safe Harbor)

Wenn Sie in gutem Glauben und im Einklang mit dieser Policy handeln, verpflichten wir uns:
  • Keine rechtlichen Schritte gegen Sie einzuleiten oder zu unterstützen, die sich auf Ihre Sicherheitsforschung beziehen.
  • Keine strafrechtliche Verfolgung zu initiieren, sofern Sie die unten genannten Regeln einhalten.
  • Ihre Meldung vertraulich zu behandeln und Ihren Namen nur mit Ihrer ausdrücklichen Zustimmung zu veröffentlichen.
  • Zeitnah zu kommunizieren — wir bestätigen den Eingang Ihrer Meldung innerhalb von 5 Werktagen und informieren Sie regelmäßig über den Bearbeitungsstand.

5. Unsere Reaktionszeiten

Schritt Frist
Eingangsbestätigung 5 Werktage
Erste Bewertung und Rückmeldung 15 Werktage
Behebung kritischer Schwachstellen (CVSS ≥ 9.0) So schnell wie möglich, Ziel: 30 Tage
Behebung hoher Schwachstellen (CVSS 7.0–8.9) Ziel: 60 Tage
Behebung mittlerer Schwachstellen (CVSS 4.0–6.9) Ziel: 90 Tage
Veröffentlichung (Coordinated Disclosure) Nach Behebung, in Abstimmung mit dem Melder

6. Regeln für Sicherheitsforscher

  • Keine Zerstörung: Löschen, verändern oder verschlüsseln Sie keine Daten, die Ihnen nicht gehören.
  • Keine Unterbrechung: Verursachen Sie keine Denial-of-Service-Angriffe oder Betriebsunterbrechungen.
  • Keine Datenexfiltration: Kopieren Sie keine personenbezogenen Daten oder Geschäftsgeheimnisse über das für den Nachweis der Schwachstelle notwendige Minimum hinaus.
  • Keine Weitergabe: Veröffentlichen Sie Details zur Schwachstelle nicht, bevor wir sie behoben haben und eine koordinierte Veröffentlichung vereinbart ist (Coordinated Vulnerability Disclosure).
  • Nur eigene Systeme: Testen Sie ausschließlich Systeme, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung haben. Für Tests an GPS-Cloud-Diensten kontaktieren Sie uns vorab.

7. Coordinated Vulnerability Disclosure (CVD)

GPS folgt dem Prinzip der koordinierten Offenlegung gemäß der Delegierten Verordnung (EU) 2026/881.
  • Wir arbeiten mit dem Melder zusammen, um einen gemeinsamen Veröffentlichungszeitpunkt zu bestimmen.
  • Wir melden aktiv ausgenutzte Schwachstellen gemäß den gesetzlichen Anforderungen (EU CRA, Verordnung 2024/2847) an die zuständigen Behörden (ENISA / BSI).
  • Wir veröffentlichen Sicherheitshinweise (Security Advisories) auf gps-stuttgart.de/produktsicherheit nach Behebung der Schwachstelle.

8. Anerkennung

Wir würdigen verantwortungsvolle Sicherheitsforschung. Mit Ihrer Zustimmung nennen wir Sie in unseren Security Advisories als Entdecker der Schwachstelle. Ein formales Bug-Bounty-Programm besteht derzeit nicht.

9. Kontakt und weitere Informationen

E-Mail security@gps-stuttgart.de
security.txt gps-stuttgart.de/.well-known/security.txt
Unternehmen GPS Gesellschaft für Produktionssysteme GmbH, Nobelstraße 15, 70569 Stuttgart
Rechtsform GmbH, Handelsregister Stuttgart

10. Änderungshistorie

Version Datum Änderung
1.0 2026-05-29 Erstveröffentlichung
Diese Vulnerability Disclosure Policy entspricht den Anforderungen der EU-Verordnung 2024/2847 (Cyber Resilience Act), Artikel 13 Absatz 6, und orientiert sich an den Empfehlungen des BSI sowie an ISO/IEC 29147:2018 (Vulnerability Disclosure)