Sollten Sie Schwachstellen in IT-Produkten unseres Unternehmens gefunden haben, bitten wir Sie sich vertrauensvoll an uns zu wenden. Wir nehmen jede gemeldete Schwachstelle ernst und bearbeiten diese im Rahmen unseres Coordinated Vulnerability Disclosure (CVD)-Verfahrens.
Wir versprechen
- jeden Schwachstellenbericht vertraulich zu behandeln. Personenbezogene Daten werden nicht ohne Ihre Zustimmung an Dritte weitergegeben.
- eine Rückmeldung zu jeder getätigten Schwachstellenmeldung zu geben.
- Sie über den geplanten Zeitpunkt der möglichen Behebung der Schwachstelle zu informieren, sowie weitere Maßnahmen mit Ihnen abzustimmen.
- entsprechend der Einhaltung unserer Richtlinien keine strafrechtlichen Schritte gegen Sie zu unternehmen, solange Ihrerseits die Richtlinien und Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
- wenn gewünscht, Ihren Namen oder Alias auf der von uns eingerichteten Hall of Fame Webseite (inkl. der Art der Schwachstelle) zu veröffentlichen.
- Dadurch möchten wir Ihnen danken und die gute Zusammenarbeit öffentlich zum Ausdruck bringen.
Wir erwarten,
- dass die gefundene Schwachstelle nicht ausgenutzt wurde. D.h., dass zum Beispiel keine Daten heruntergeladen, verändert oder entfernt wurden. Auch wurde kein eigener Programmcode hochgeladen oder in Systemen hinterlegt.
- dass keine Angriffe (wie z.B. Social-Engineering- (z.B. Phishing), Spam-, (Distributed) DoS- oder „Brute Force“-Angriffe, etc.) gegen unsere IT-Systeme, unsere Infrastruktur oder Systeme unserer Kunden/-innen durchgeführt wurden. Hierzu gehört auch die Manipulation, Kompromittierung oder Veränderung von Kundensystemen.
- dass auf ein angreifbares System nicht mehrfach zugegriffen wurde.
- dass keine Informationsweitergabe der Schwachstelle an Dritte, ohne unsere explizite Freigabe, stattgefunden hat.
- dass es sich bei der Schwachstellenmeldung nicht um Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation handelt. Diese stellen keine gültigen Schwachstellenmeldungen dar.
- dass es sich bei der Schwachstellenmeldung um neue Informationen handelt. Zu bereits behobenen Schwachstellen werden Ihre Informationen zwar entgegengenommen und geprüft, sie qualifizieren sich jedoch nicht für die Aufnahme in die Hall of Fame.
- dass gültige Kontaktdaten (E-Mail-Adresse) hinterlegt werden, damit wir Sie im Falle von Rückfragen kontaktieren können. Gerade bei komplexen Schwachstellen ist es nicht auszuschließen, dass wir weitere Erklärungen und Dokumentationen benötigen. Da wir sehr viel Wert auf eine gute Kommunikation legen, werden anonyme Schwachstellenmeldungen ohne gültige Kontaktdaten nicht oder nur eingeschränkt bearbeitet und können sich auch nicht für eine Aufnahme in die Hall of Fame qualifizieren.
Formatvorlage zum CVD-Verfahren
Im Folgenden finden Sie unsere Formatvorlage zur einheitlichen Meldung einer Schwachstelle in einem IT-Produkt unseres Unternehmens. Je ausführlicher Ihre Meldung ist, desto besser und schneller können wir die Schwachstelle nachvollziehen und beheben. Wir bitten Sie daher, sich, wenn möglich, an diese Formatvorlage zu halten:
- Bezeichnung der Schwachstelle (z.B. SQL-Injection, XSS, o.ä.)
- Wenn möglich, verwenden Sie hierfür eine CWE-Nummer.
- Sachverhalt zur Schwachstelle (kurze nicht technische Beschreibung)
- Betroffenes IT-Produkt
- Produkt
- Version/Modell
- Umfassende Beschreibung der Schwachstelle (inkl. technischer Details)
- Verwenden Sie hierfür bitte zusätzlich eine CVSS Berechnung der Schwachstelle (siehe https://www.first.org/cvss/calculator) und fügen Sie diese Informationen der Meldung bei.
- Wenn vorhanden, ein „Proof of Concept“
- Wenn bekannt, mögliche Gegenmaßnahmen
- Ihre Kontaktdaten
- Ihre Zustimmung oder Ablehnung zur Veröffentlichung Ihrer Schwachstellenmeldung in unseren Release-Informationen (auf Wunsch Alias hierfür bitte mitangeben)
Ihre Schwachstellenmeldung
Hier finden Sie weitere Informationen, wie Sie uns Ihre Schstellenmeldung mitteilen können.
