Richtlinie zu Sicherheit, Produktunterstützung und koordinierter Offenlegung von Schwachstellen

Zuletzt aktualisiert am: 28. Mai 2026

Diese Seite erläutert den Ansatz von Chipolo zur Sicherheitsunterstützung für Produkte sowie, wo produktspezifische regulatorische Informationen und Konformitätsinformationen zu finden sind, einschließlich der geltenden Unterstützungszeiträume und offiziellen Konformitätsdokumente. Diese Seite dient außerdem als Richtlinie von Chipolo für die koordinierte Offenlegung von Schwachstellen.

    Sicherheit und Produktunterstützung

    Informationen zu Unterstützungszeiträumen für aktuelle Produkte sowie Informationen zum Ende der Lebensdauer (End-of-Life) älterer Produkte sind unter https://chipolo.net/regulatory verfügbar.

    Für jedes anwendbare Produkt gibt die Seite mit regulatorischen Informationen an, wie lange Nutzerinnen und Nutzer mit relevanten Sicherheitsupdates rechnen können.

    Sichere Einrichtung und Nutzung

    Um die sichere Nutzung Ihrer Chipolo-Produkte zu unterstützen, empfehlen wir Ihnen:

    • Halten Sie Ihr Android- oder iOS-Gerät mit den neuesten verfügbaren Betriebssystemupdates aktuell.
    • Stellen Sie sicher, dass Bluetooth und alle erforderlichen Berechtigungen für die Chipolo-App auf Ihrem Gerät aktiviert sind, damit Ihr Produkt mit der App kommunizieren und verfügbare Updates erhalten kann.
    • Installieren Sie die Chipolo-App aus dem Apple App Store oder von Google Play und halten Sie sie auf dem neuesten Stand.
    • Stellen Sie sicher, dass Ihr Chipolo-Produkt zur Chipolo-App hinzugefügt ist, da Firmware-Updates über die App bereitgestellt werden und je nach Produkt eine Handlung durch die Nutzerin oder den Nutzer erfordern können.
    • Prüfen Sie regelmäßig in der Chipolo-App, ob Firmware-Updates verfügbar sind, und installieren Sie diese.

    Informationen zum Zurücksetzen, zum Entfernen eines Produkts aus einem Konto und zum Löschen zugehöriger Nutzerdaten finden Sie in den Informationen von Chipolo zu Produktunterstützung und Datenschutz.

    Konformitätsdokumente

    Produktspezifische regulatorische Informationen, Sicherheitsinformationen und Informationen zu Wirtschaftsakteuren, einschließlich anwendbarer Warnhinweise und Verbraucherinformationen, sind unter https://chipolo.net/regulatory verfügbar.

    Standardpasswörter

    Für Produkte, die in den Anwendungsbereich der UK-PSTI-Regelung fallen, verwendet Chipolo keine universellen Standardpasswörter. Wenn eine Authentifizierung erforderlich ist, sind die Zugangsdaten entweder für das jeweilige Produkt eindeutig oder werden von der Nutzerin oder dem Nutzer festgelegt.

    Koordinierte Offenlegung von Schwachstellen

    Wir betreiben ein Verfahren zur koordinierten Offenlegung von Schwachstellen. Wenn Sie glauben, eine Sicherheitsschwachstelle in einem Chipolo-Produkt, in der Chipolo-App oder in von Chipolo betriebenen Webdiensten oder Infrastrukturen entdeckt zu haben, kontaktieren Sie uns bitte unter security@chipolo.net.

    Wir prüfen alle Schwachstellenmeldungen nach Treu und Glauben. Unser Sicherheitsteam wird die erste Bewertung und Validierung kritischer Meldungen zeitnah und ohne unangemessene Verzögerung einleiten. Bei nicht kritischen Meldungen bemühen wir uns, innerhalb von 7 Werktagen eine erste Rückmeldung zu geben. Soweit dies nach geltendem Recht erforderlich ist, wird Chipolo seinen Meldepflichten in Bezug auf Cybersicherheitsvorfälle und Schwachstellen nachkommen.

    Außerhalb des Geltungsbereichs

    Damit wir uns auf konkrete und umsetzbare Bedrohungen konzentrieren können, gelten die folgenden Themen als außerhalb des Geltungsbereichs. Auch wenn wir entsprechende Informationen begrüßen, sollten Sie keine zeitnahe Antwort auf Meldungen erwarten, die sich ausschließlich auf Folgendes beziehen:

    • fehlende HTTP-Sicherheitsheader oder -Flags, zum Beispiel Strict-Transport-Security oder X-Frame-Options, ohne nachweisbare Ausnutzbarkeit;
    • Probleme bei der E-Mail-Konfiguration, zum Beispiel fehlende oder schwach konfigurierte SPF-, DKIM- oder DMARC-Einträge;
    • Probleme bei der SSL/TLS-Konfiguration, zum Beispiel schwache Cipher Suites, ohne nachweisbare Ausnutzbarkeit;
    • Ausgaben automatisierter Schwachstellenscanner ohne nachweisbare Ausnutzbarkeit oder ohne geeignetes Beispiel dafür, wie die Ergebnisse für einen Angriff genutzt werden könnten;
    • Clickjacking auf Seiten ohne sensible Aktionen;
    • physische Angriffe, zerstörende Eingriffe in Hardware oder Techniken, die spezialisierte Laborausrüstung erfordern, es sei denn, die Meldung zeigt eine praktische Auswirkung auf die Cybersicherheit bei vernünftigerweise vorhersehbarer Nutzung oder Fehlverwendung;
    • Schwachstellen in Plattformen Dritter, zugrunde liegenden Betriebssystemen wie iOS oder Android oder Partner-Findenetzwerken, einschließlich Apple Find My und Google Find Hub.

    Darüber hinaus liegen Meldungen über die missbräuchliche Nutzung eines ansonsten ordnungsgemäß funktionierenden Geräts ohne identifizierte Cybersicherheitsschwachstelle, beispielsweise unerwünschtes Tracking, außerhalb des Geltungsbereichs dieses Verfahrens zur Offenlegung von Schwachstellen. Wenn Sie der Ansicht sind, dass Sie sich in unmittelbarer Gefahr befinden oder Opfer rechtswidrigen Verhaltens sein könnten, wenden Sie sich bitte an die örtlichen Strafverfolgungsbehörden oder an geeignete Hilfs- und Sicherheitsstellen.

    Was eine Meldung enthalten sollte

    Damit wir eine gemeldete Schwachstelle effizient prüfen und beheben können, geben Sie bitte so viele relevante Details wie möglich an, zum Beispiel das betroffene Chipolo-Produkt, die betroffene App, den betroffenen Dienst, die Firmware- oder Softwareversion, die Schritte zur Reproduktion des Problems, die möglichen Sicherheitsauswirkungen sowie etwaige Proofs of Concept, Protokolle, Screenshots oder Videos, die sicher geteilt werden können. Bitte teilen Sie uns auch mit, ob die Schwachstelle Ihrer Einschätzung nach öffentlich bekannt ist oder aktiv ausgenutzt wird, und geben Sie eine zuverlässige Möglichkeit an, wie wir Sie bei Rückfragen kontaktieren können.

    Sicherheitshinweise und Benachrichtigung von Nutzerinnen und Nutzern

    Wenn Chipolo eine Schwachstelle behebt, die Nutzerinnen und Nutzer betreffen kann, stellen wir geeignete Informationen und Hinweise zur Behebung oder Risikominderung über passende Kommunikationskanäle bereit. Dazu können Produktunterstützungsseiten, Sicherheitshinweise, Benachrichtigungen in der App, Hinweise zu Firmware- oder Softwareupdates oder, soweit angemessen, direkte Kommunikation gehören. Öffentliche Informationen können das betroffene Produkt oder den betroffenen Dienst, eine Beschreibung der Auswirkungen, gegebenenfalls den Schweregrad, verfügbare Maßnahmen zur Risikominderung oder Updates sowie empfohlene Handlungen für Nutzerinnen und Nutzer umfassen, sofern eine verzögerte Offenlegung nicht erforderlich ist, um ein Sicherheitsrisiko zu verringern.

    Datenschutz und Datenverarbeitung

    Wenn Sie eine Schwachstellenmeldung an security@chipolo.net senden, erhebt Chipolo d.o.o. begrenzte personenbezogene Daten, etwa Ihren Namen oder Alias, Ihre E-Mail-Adresse und den Kommunikationsverlauf, ausschließlich zum Zweck der ersten Bewertung der Meldung, der Kommunikation mit Ihnen in Bezug auf die Schwachstelle und der Erfüllung unserer regulatorischen Verpflichtungen.

    Wir verarbeiten diese Daten auf der Rechtsgrundlage des berechtigten Interesses und der rechtlichen Verpflichtung. Ihre personenbezogenen Daten werden sicher gespeichert, sind nur für autorisiertes internes Personal zugänglich und werden nur so lange aufbewahrt, wie dies zur Minderung der Schwachstelle und zur Einhaltung gesetzlicher Meldefristen erforderlich ist.

    Wir können Informationen aus einer Meldung offenlegen, wenn dies gesetzlich vorgeschrieben ist, auch gegenüber zuständigen Behörden, wobei wir die weitergegebenen personenbezogenen Daten auf das erforderliche Maß beschränken.

    Weitere Informationen darüber, wie wir mit personenbezogenen Daten umgehen, oder zur Ausübung Ihrer Rechte auf Auskunft, Berichtigung oder Löschung Ihrer Daten finden Sie in unserer vollständigen Datenschutzrichtlinie unter https://chipolo.net/privacy.

    Rechtlicher Schutz für Sicherheitsforschende

    Wir betrachten Sicherheitsforschung und die Offenlegung von Schwachstellen als autorisiert, sofern sie nach Treu und Glauben und in Übereinstimmung mit diesen Offenlegungsrichtlinien durchgeführt werden.

    Um unter diesem rechtlichen Schutz zu bleiben, müssen Sie:

    • alle Details zur Schwachstelle streng vertraulich behandeln und keine Nutzer-, Finanz- oder proprietären Daten öffentlich offenlegen. Jede öffentliche Offenlegung nach Umsetzung einer Maßnahme zur Risikominderung oder eines Fixes sollte mit uns abgestimmt werden;
    • Verletzungen der Privatsphäre, die Zerstörung von Daten sowie Unterbrechungen oder Beeinträchtigungen unserer Dienste vermeiden, zum Beispiel keine Denial-of-Service-Angriffe durchführen;
    • Social Engineering, Phishing oder physische Angriffe gegen Mitarbeitende von Chipolo, Büros von Chipolo oder unsere Lieferkette vermeiden.

    Wenn Sie diese Richtlinien einhalten und nach Treu und Glauben handeln, beabsichtigt Chipolo nicht, wegen Ihrer Forschung rechtliche Schritte gegen Sie einzuleiten. Bitte beachten Sie, dass dieser rechtliche Schutz nur für Systeme gilt, die der unmittelbaren Kontrolle von Chipolo unterliegen, und sich nicht auf Netzwerke oder Plattformen Dritter wie Apple Find My oder Google Find Hub erstrecken kann.