Offenlegung von Sicherheitslücken (Responsible Disclosure Policy)

Die Sicherheit unserer Systeme, unseres Netzwerks und unserer Produkte ist uns sehr wichtig. Trotz kontinuierlicher Sicherheitsmaßnahmen ist es möglich, dass in einem unserer Systeme, Netzwerke oder Produkte unerwartete Schwachstellen entdeckt werden. Sollten Sie eine solche Schwachstelle finden, würden wir uns freuen, von Ihnen zu hören, damit wir so schnell wie möglich die notwendigen Maßnahmen ergreifen können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden, Systeme, Netzwerke und Produkte noch besser zu schützen.

Schwachstellen können auf zwei Wegen identifiziert werden: Sie stoßen während der gewöhnlichen Nutzung unserer digitalen Umgebung darauf, oder Sie suchen explizit nach Schwachstellen. Unsere Richtlinien zur verantwortungsbewussten Offenlegung sind keine Aufforderung zum aktiven Scannen und / oder aktivem Prüfen von Schwachstellen, ohne uns darüber in Kenntniss zu setzen. Wir überwachen unsere Systeme, Netzwerke und Produkte kontinuierlich. Sind Sie ein Kunde von uns? Dann bitten wir Sie, sich vorab mit uns in Verbindung zu setzen, damit unsere IT-Kollegen informiert sind und Ihre Befragungen nicht blockiert oder verzögert werden. Wenn ein unangekündigter Scan von unseren IT-Kollegen ausgeführt und geprüft wird, werden die IP-Adressen während der Befragung gesperrt und es entstehen möglicherweise unnötige Kosten und Verzögerungen.

Unsere Bitte an Sie:

  • Teilen Sie Ihre Erkenntnisse bezüglich Schwachstellen mit uns. Bitte schicken Sie uns eine E-Mail an databreach@effectory.com. Verschlüsseln Sie Ihre Ergebnisse mit unserem PGP-Schlüssel, um zu verhindern, dass die Informationen in falsche Hände geraten.
  • Missbrauchen Sie die Schwachstelle nicht, indem Sie beispielsweise mehr Daten herunterladen, als erforderlich ist, um die Schwachstelle nachzuweisen und das Anzeigen, Entfernen oder Ändern von Daten durch Dritte zu verhindern.
  • Teilen Sie die Erkenntnis über eine Schwachstelle nicht mit anderen, bis sie behoben ist und löschen Sie sofort alle vertraulichen Daten, die Sie durch die Schwachstelle erhalten haben.
  • Verwenden Sie keine physischen Sicherheitsangriffe, Social Engineering, (verteiltes) Denial-of-Service, Spam oder Anwendungen von Drittanbietern, wie z. B. Hacker-Tools und Schwachstellenscanner, sofern keine ausdrücklichen Vereinbarungen diesbezüglich getroffen wurden.
  • Stellen Sie ausreichend Informationen bereit, um die Schwachstelle zu reproduzieren, damit wir sie so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus. Für komplexere Schwachstellen sind jedoch möglicherweise weitere Erklärungen erforderlich.

Unser Versprechen an Sie:

  • Wir werden innerhalb von drei Arbeitstagen mit einer Beurteilung und möglicherweise einem voraussichtlichen Termin für eine Lösung auf Ihre Benachrichtigung über die vermutete Schwachstelle reagieren.
  • Wenn die oben genannten Bedingungen eingehalten werden, werden wir bezüglich Ihrer Meldung keine rechtlichen Schritte einleiten.
  • Wir werden Sie über den Fortschritt bei der Behebung der Schwachstelle auf dem Laufenden halten.
  • Wir behandeln Ihre Benachrichtigung vertraulich und geben Ihre persönlichen Daten nicht ohne Erlaubnis an Dritte weiter. Davon ausgenommen sind Polizei und Justiz, falls eine Anzeige bei der Polizei erforderlich ist oder Daten von diesen Parteien verlangt werden.
  • Wir können nicht versprechen, dass keine rechtlichen Schritte eingeleitet werden. Wir möchten in der Lage sein, jede neue Situation nach ihren Besonderheiten zu beurteilen.
  • Wir fühlen uns moralisch verpflichtet, uns der Polizei zu melden, wenn wir den Verdacht haben, dass die Schwachstelle oder Daten missbraucht werden (z. B. das Anzeigen, Entfernen oder Ändern von Daten durch Dritte) oder dass Sie Ihr Wissen über die Schwachstelle mit anderen geteilt haben. Sie können sich jedoch darauf verlassen, dass eine versehentliche Entdeckung in unserer Online-Umgebung nicht dazu führt, dass sie der Polizei gemeldet wird.
  • Abhängig von der Schwere der Schwachstelle und der Qualität Ihrer Meldung können wir eine Belohnung für eine Meldung über eine unbekannte Schwachstelle als Dankeschön für Ihre Hilfe anbieten. Allerdings belohnen wir keine Meldungen zu typischen Schwachstellen, die von automatisierten Scan-Tools wie z. B. Qualys oder Nessus gefunden werden.

Unser Ziel ist es, kritische Schwachstellen so schnell wie möglich zu beheben und alle beteiligten Parteien über den Fortschritt zu informieren.