NETGEAR Produktsicherheit
Unser Engagement
Bei NETGEAR arbeite ich daran, Menschen durch sichere Designpraktiken, Integrität der Lieferkette, proaktive Bedrohungsüberwachung und innovative Sicherheitsfunktionen sicher mit dem Internet zu verbinden. Mein Team engagiert sich für ein starkes Produktsicherheitsprogramm, das das Vertrauen der Kunden gewinnt und sich an die sich ständig weiterentwickelnde Bedrohungslandschaft im Cyberraum anpasst.
Schwachstelle melden
Das Product Security Team von NETGEAR untersucht alle Meldungen zu Sicherheitslücken, die NETGEAR Produkte und Dienste betreffen. Wenn ich Sicherheitsforscher bin und glaube, eine potenzielle Sicherheitslücke entdeckt zu haben, melde ich meine Ergebnisse über die Bug-Bounty-Plattform.
Forscher, die nicht am Bounty-Programm teilnehmen möchten, können ihre Ergebnisse weiterhin über das Kudos-Rewards-Programm einreichen oder per E-Mail an das Product Security Team von NETGEAR unter security@netgear.com senden.
In den Bericht aufnehmen:
- Betroffene Produkte, Modelle, Hardware, Firmware oder Softwareversionen
- Eindeutige Reproduktionsschritte/PoC, erwartetes vs. tatsächliches Verhalten
- Sicherheitsauswirkung oder vorgeschlagene Schweregradstufe
- Ihre Kontaktdaten und wie wir Sie nennen sollen oder ob Sie anonym bleiben möchten
Weitere Informationen finden Sie in unserer security.txt-Datei.
Umgang mit Sicherheitslücken und Reaktion
Mein Product Security Team verwaltet den sicheren Entwicklungslebenszyklus für alle Produktlinien, einschließlich der Priorisierung und Offenlegung von Sicherheitsproblemen.
Was dich erwartet:
Erste Reaktion
Meldungen werden innerhalb von 3 US‑Werktagen bestätigt.
Die erste Einstufung wird innerhalb von 5 US‑Werktagen abgeschlossen.
Aktualisierungen zur Problemlösung
Forschende werden informiert, wenn eine Behebung bereit ist oder eine CVE vergeben wurde.
Anreize und öffentliche Anerkennung
Qualifizierte Beitragende erhalten eine Bug-Bounty-Prämie und/oder eine Erwähnung als Anerkennung und werden auf Wunsch im CVE-Eintrag genannt.
Ich verwende in allen meinen Mitteilungen die Kennzeichnungen der FIRST TLP v2.0. Wenn keine Kennzeichnung vorhanden ist, behandle ich Meldungen als TLP:AMBER, die bei Bedarf mit meinen Technologiepartnern geteilt werden dürfen, um Korrekturen zu entwickeln oder zu testen.
Priorisierung und Analyse
Ich priorisiere die Reaktion auf Probleme anhand der Stakeholder-Specific Vulnerability Categorization (SSVC)-Methodik und verwende das Common Vulnerability Scoring System (CVSS), um die technische Schwere der Probleme zu bewerten.
Zeitplan und Produktberechtigung
Probleme, die sofortige Aufmerksamkeit erfordern, lösen unseren Notfallreaktionsplan für Vorfälle aus und werden so schnell wie praktisch möglich bearbeitet. In allen anderen Fällen entwickeln wir Abhilfemaßnahmen und Korrekturen für unterstützte Produkte im Rahmen unserer regulären Entwicklungs‑, Qualitätssicherungs‑ und gestuften Bereitstellungszyklen. In Ausnahmefällen kann die Behebung länger dauern, wenn sie von Drittparteien oder Normungsorganisationen abhängt. In solchen Fällen werden die Meldenden auf dem Laufenden gehalten.
Alle bei uns eingehenden Meldungen werden geprüft, um ihre Relevanz für unterstützte Produkte zu bestimmen. In der Regel erhalten nur Produkte, die sich noch innerhalb ihres Supportzeitraums befinden, Sicherheitsupdates.
Sicherheitswarnungen
Sicherheitshinweise werden auf der Seite für NETGEAR-Sicherheitshinweise veröffentlicht. Die öffentliche Offenlegung wird so koordiniert, dass die Sicherheit der Benutzer maximiert wird. Forscher werden in den Hinweisen genannt, wenn sie dies wünschen.
Hinweise zu Problemen, die sofortige Aufmerksamkeit erfordern, werden so schnell wie vernünftigerweise möglich veröffentlicht. Alle anderen Probleme werden in einem monatlichen Sicherheits‑Patch‑Update veröffentlicht, das die behobenen Schwachstellen auflistet.
Programmpartnerschaft mit CVE
NETGEAR ist ein CVE-Programmpartner (CNA) und ist berechtigt, CVE-IDs zu vergeben und CVE-Einträge für Schwachstellen in allen NETGEAR Produkten, Produkten von Tochtergesellschaften und Drittanbieterkomponenten zu veröffentlichen, die in NETGEAR Produkten verwendet werden und nicht bereits durch den Zuständigkeitsbereich eines anderen CNA abgedeckt sind.
Zuweisungsprozess
Wir vergeben CVE-IDs und CVE-Einträge und veröffentlichen sie gemäß den operativen CVE-CNA-Regeln. Unsere Einträge enthalten CWE-, CVSS- und CPE-Informationen, die auf unsere Ziele des CISA Secure by Design Pledge abgestimmt sind.
Ältere Geräte
Unsere Möglichkeiten, Schwachstellen in Legacy-Geräten oder nicht mehr unterstützten Geräten zu validieren, sind begrenzt. Um Kunden bei der Einschätzung von Risiken zu unterstützen, vergeben wir CVE-IDs für Probleme, die diese Geräte betreffen, wenn glaubwürdige Nachweise für eine Schwachstelle und ihre Auswirkungen vorliegen.
Komponenten von Drittanbietern
Wenn eine Schwachstelle hauptsächlich eine Drittanbieterkomponente mit eigener CNA betrifft, stimmen wir uns mit dieser CNA ab und vermeiden doppelte Vergaben.
NETGEAR orientiert sich an Industriestandards
Meine Richtlinien und Prozesse stimmen mit anerkannten Standards, Frameworks und Richtlinien überein:
- ISO/IEC 29147:2018 (offene Meldung von Schwachstellen) und ISO/IEC 30111:2019 (Umgang mit Schwachstellen).
- NIST Secure Software Development Framework
- Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847)
- FIRST PSIRT Services Framework
- CISA Secure by Design Grundsätze
Safe-Harbor und Gutglaubensforschung
Ich ermutige Sicherheitsforschende, ihre Erkenntnisse offenzulegen und uns zu melden, ohne Angst vor rechtlichen Konsequenzen haben zu müssen. Wenn du in gutem Glauben handelst und diese Richtlinie befolgst, betrachtet NETGEAR deine Forschung als autorisiert und wird keine rechtlichen Schritte einleiten. Sollte ein Dritter rechtliche Schritte gegen eine Sicherheitsforscherin oder einen Sicherheitsforscher einleiten, weil Aktivitäten im Einklang mit dieser Richtlinie durchgeführt wurden, wird NETGEAR diese Autorisierung bekannt machen.
Guter Glaube bedeutet in diesem Zusammenhang Folgendes: Verletzungen der Privatsphäre, Datenvernichtung oder Dienstunterbrechungen vermeiden; keine Daten aufrufen, exfiltrieren oder speichern, die nicht dir gehören; keine Veröffentlichung vornehmen, bevor NETGEAR eine angemessene Gelegenheit hatte, das Problem zu beheben; Cyberkriminellen nicht dabei helfen, Schwachstellen gegen unsere Kundschaft auszunutzen; die Tests beenden, wenn du auf Nutzerdaten stößt; geltendes Recht einhalten.
LETZTE AKTUALISIERUNG: DEZEMBER 2025
Gilt für alle Hardware-, Firmware- und Softwareprodukte, mobilen Apps, Cloud-Dienste und Webangebote von NETGEAR und seinen Tochtergesellschaften, sofern nicht anders angegeben.