iStock_80038439_XXXLARGE

Canon Sicherheit

Auf dieser Seite finden Sie wichtige Informationen zur Sicherheit bei Canon


Richtlinie zur Offenlegung von Sicherheitslücken

Bei Canon nehmen wir die Sicherheit unserer IT-Systeme sehr ernst und schätzen die Sicherheitscommunity. Die Offenlegung von Sicherheitslücken hilft uns sicherzustellen, dass die Sicherheit und der Datenschutz unserer Benutzer gewährt bleiben und wir weiterhin ein vertrauensvoller Partner sind. In dieser Richtlinie werden die Anforderungen und Mechanismen im Zusammenhang mit der Offenlegung von Sicherheitslücken im Canon EMEA IT-System erläutert, die es Experten ermöglichen, Sicherheitslücken auf sichere und ethische Weise an das Canon EMEA Information Security Team zu melden.

Diese Richtlinie gilt für alle, einschliesslich interner und externer Canon Teilnehmer.


Einsatzspektrum

Das Canon EMEA Information Security Team ist bestrebt, die Kunden und Mitarbeiter von Canon zu schützen. Im Rahmen dieser Verpflichtung laden wir Sicherheitsexperten ein, uns dabei zu unterstützen, Canon zu schützen, indem sie Sicherheitslücken und Schwächen proaktiv melden. Sie können die Details Ihrer Untersuchung(en) unter appsec@canon-europe.com melden.


Domains im Geltungsbereich
Dies ist die Liste der Domains, die in der Canon Richtlinie zur Offenlegung von Sicherheitslücken enthalten sind.
*.canon-europe.com *.canon.nl
*.canon.co.uk *.canon.com.tr
*.canon.com.de *.canon.com.sa
*.canon.com.ae *.canon.com.jp
*.canon.com.ca *.canon.no
*.canon.es *.canon.se
*.canon.pl *.canon.be
*.canon.pt *.canon.it
*.canon.dk *.canon.ch
*.canon.fi *.canon.at
*.canon.fr *.canon.ie
*.uaestore.canon.me.com  


Melden einer Sicherheitslücke

Sie können uns Sicherheitslücken per E-Mail melden unter: appsec@canon-europe.com. Bitte geben Sie in Ihrer E-Mail so eindeutig und detailliert wie möglich an, welche Schwäche(n) Sie festgestellt haben, und geben Sie eventuelle Belege an. Beachten Sie dabei, dass die Nachricht von unseren Canon Security Specialists überprüft wird. Geben Sie in Ihrer E-Mail insbesondere Folgendes an:

  • die Art der Sicherheitslücke
  • eine Schritt-für-Schritt-Anleitung zum Nachbilden der Sicherheitslücke
  • Ihre Vorgehensweise
  • die vollständige URL
  • möglicherweise betroffene Objekte (wie Filter oder Eingabefelder)
  • Bildschirmaufnahmen werden sehr geschätzt
  • Bitte geben Sie Ihre IP-Adresse im Bericht zur Sicherheitslücke an. Diese wird vertraulich behandelt, um Ihre Testaktivitäten zu verfolgen und die Protokolle von unserer Seite aus zu überprüfen

Wir akzeptieren keine Ausgaben von automatisierten Softwarescannern.


Was nicht akzeptiert wird:
  • Volumenbezogene Schwächen/Denial-of-Service-Schwachstellen (d. h. unseren Service einfach mit einer hohen Anzahl an Anfragen überfordern)
  • Schwachstellen der TLS-Konfiguration (z. B. „schwacher“ Cipher-Suite-Support, TLS1.0-Support, sweet32 usw.)
  • Probleme im Zusammenhang mit der Verifizierung von E-Mail-Adressen, die zum Erstellen von Benutzerkonten im Zusammenhang mit myid.canon verwendet werden
  • „Self“-XSS
  • Skripts für gemischte Inhalte auf www.canon.*
  • Unsichere Cookies auf www.canon.*
  • CSRF- und CRLF-Angriffe mit minimalen Auswirkungen
  • HTTP-Host-Header-XSS ohne funktionierenden Proof-of-Concept
  • Unvollständige/fehlende SPF/DMARC/DKIM
  • Social-Engineering-Angriffe
  • Sicherheitsfehler auf Webseiten von Drittanbietern, die mit Canon integriert sind
  • Enumerationstechniken für Netzwerkdaten (z. B. Banner-Grabbing, öffentlich zugängliche Seiten zur Serverdiagnose)
  • Berichte, aus denen hervorgeht, dass unsere Dienstleistungen nicht vollständig mit den „Best Practices“ übereinstimmen

Was wir mit Ihrem Bericht machen

Canon Information Security Experts werden Ihren Bericht prüfen und sich innerhalb von fünf Werktagen mit Ihnen in Verbindung setzen.


Ihre Privatsphäre

Wir verwenden Ihre persönlichen Daten nur, um basierend auf Ihrem Bericht Massnahmen zu ergreifen. Wir geben Ihre persönlichen Daten nicht ohne Ihre ausdrückliche Zustimmung an andere weiter.


Regeln

Möglicherweise rechtswidrige Handlungen

Wenn Sie eine Sicherheitslücke entdecken und sie untersuchen, können Sie dabei Handlungen durchführen, die strafbar sind. Wenn Sie die nachstehenden Regeln und Grundsätze zur Meldung von Sicherheitslücken in unseren IT-Systemen befolgen, melden wir Ihren Verstoss den Behörden nicht und verlangen keine Entschädigung.

Sie sollten jedoch wissen, dass die Staatsanwaltschaft – und nicht CANON – entscheiden kann, ob Sie strafrechtlich verfolgt werden, selbst, wenn wir Ihren Verstoss den Behörden nicht gemeldet haben. Das bedeutet, dass wir nicht garantieren können, dass Sie nicht strafrechtlich verfolgt werden, wenn Sie bei der Untersuchung einer Sicherheitslücke eine Straftat begehen.

Das National Cyber Security Centre des Ministry of Security and Justice hat Richtlinien für die Meldung von Schwachstellen in IT-Systemen erstellt. Unseren Regeln liegen diese Richtlinien zugrunde. (https://english.ncsc.nl/)


Allgemeine Grundsätze

Übernehmen Sie Verantwortung und handeln Sie mit äusserster Vorsicht. Verwenden Sie bei der Untersuchung nur Methoden oder Techniken, die notwendig sind, um die Sicherheitslücken zu finden oder vorzuführen.

  • Verwenden Sie Schwächen, die Sie entdecken, zu keinen anderen Zwecken, als eine Untersuchung durchzuführen.
  • Nutzen Sie nicht Social Engineering, um Zugriff auf ein System zu erhalten.
  • Bauen Sie keine Hintertüren ein, auch nicht, um die Sicherheitslücke eines Systems zu demonstrieren. Hintertüren beeinträchtigen die Sicherheit des Systems.
  • Ändern oder löschen Sie keine Informationen im System. Kopieren Sie niemals mehr Informationen, als Sie für Ihre Untersuchung benötigen. Sammeln Sie keine weiteren Informationen, wenn ein einziger Beweis ausreicht.
  • Verändern Sie das System auf keine Weise.
  • Infiltrieren Sie das System nur, wenn es unbedingt erforderlich ist. Ermöglichen Sie niemals anderen Personen den Zugriff, wenn Sie ein System infiltrieren.
  • Verwenden Sie keine Brute-Force-Methode, wie z. B. die wiederholte Eingabe von Passwörtern, um Zugang zu Systemen zu erhalten.
  • Verwenden Sie keine Denial of Service (DoS)-Angriffe, um Zugriff zu erhalten

Häufig gestellte Fragen

Erhalte ich eine Belohnung für meine Untersuchung?

Nein, Sie haben keinen Anspruch auf eine Entschädigung.

Darf ich die Sicherheitslücken, die ich finde, und meine Untersuchung veröffentlichen?

Veröffentlichen Sie niemals Sicherheitslücken in IT-Systemen von Canon oder Ihre Untersuchungen, ohne vorher mit uns über die E-Mail-Adresse appsec@canon-europe.com Rücksprache zu halten. Wir können zusammenarbeiten, um zu verhindern, dass Kriminelle Ihre Daten missbrauchen. Halten Sie mit unserem Information Security Team Rücksprache, und wir können gemeinsam an der Veröffentlichung arbeiten.

Kann ich Sicherheitslücken anonym melden?

Ja, das ist möglich. Sie müssen Ihren Namen und Ihre Kontaktdaten nicht angeben, wenn Sie eine Sicherheitslücke melden. Bitte beachten Sie jedoch, dass wir Sie dann nicht zu Folgemassnahmen kontaktieren können, z. B. was wir in Bezug auf Ihren Bericht oder die weitere Zusammenarbeit tun.

Wofür sollte ich diese E-Mail-Adresse nicht verwenden?

Die E-Mail-Adresse appsec@canon-europe.com ist nicht für folgende Zwecke vorgesehen:

  • um Beschwerden über Produkte oder Dienstleistungen von Canon einzureichen
  • um Fragen oder Beschwerden bezüglich der Verfügbarkeit von Canon Webseiten zu übermitteln
  • um Betrug oder Verdacht auf Betrug zu melden
  • um betrügerische E-Mails oder Phishing-E-Mails zu melden
  • um Viren zu melden

Das könnten Sie auch noch benötigen...