Verantwortungsvolle Offenlegung

digitalAngel nimmt den Schutz unserer Systeme sehr ernst. Zum Schutz der Systeme treffen wir daher verschiedene Sicherheitsmaßnahmen. Sie haben eine Schwachstelle bzw. Sicherheitslücke in der digitalAngel-Plattform gefunden? Teilen Sie uns Ihren Fund mit, bevor Sie ihn der Außenwelt bekannt machen. Das wird Verantwortungsvolle Offenlegung von Sicherheitslücken genannt (siehe auch Richtlinie für Verantwortungsvolle Offenlegung von Sicherheitslücken). In dieser Erklärung lesen Sie, wie wir mit Ihnen zusammenarbeiten, um unsere Kunden und Systeme zu beschützen.

 

1. Wie melden Sie eine Sicherheitslücke, die bei uns aufgetreten ist?

Schreiben Sie uns eine E-Mail an cert@digitalangel.eu und teilen Sie uns Ihre Bedenken mit. Stellen Sie bitte ausreichend Informationen zur Verfügung, damit wir die Schwachstelle reproduzieren und beheben können. Oft reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Anfälligkeit aus. Bei komplexeren Anfälligkeiten jedoch sind möglicherweise weitere Informationen erforderlich. Sie können Ihre Meldung gegebenenfalls auch unter einem Pseudonym machen. Allerdings ist es wichtig, dass wir Sie für Feedback und mögliche Fragen erreichen können.

 

2. Wie wird eine Schwachstelle nicht missbraucht?

Indem die folgenden Richtlinien eingehalten werden:

  • Laden Sie nur die Daten herunter, die für den Nachweis der Schwachstelle erforderlich sind (eine Alternative ist, dass Sie eine Verzeichnisliste [Directory Listing] von einem System erstellen).
  • Nehmen Sie keine Änderungen am System vor.
  • Verschaffen Sie sich nicht wiederholt Zugriff auf das System.
  • Teilen Sie den Zugriff nicht mit Dritten.
  • Die Daten von Dritten dürfen nur beschränkt eingesehen werden.
  • Entfernen oder ändern Sie keine Daten.
  • Erstellen Sie keine Angriffe auf die physische Sicherheit, keine Social-Engineering-Angriffe, keinen Spam und verwenden Sie keine Anwendungen von Drittanbietern, verteilte Denial-of-Service-Attacken oder andere Formen.
  • Platzieren Sie keine Malware.
  • Teilen Sie die Schwachstellen nicht mit anderen, bis sie behoben wurden.
  • Löschen Sie nach der Behebung der Schwachstelle alle vertraulichen Daten.

 

3. Was machen wir mit Ihrer Meldung?

Sie erhalten von uns so schnell wie möglich – im Prinzip innerhalb von 3 Tagen – eine Antwort, in der wir Ihnen mitteilen, was mit Ihrer Meldung weiter geschieht. Wir werden Sie über den Fortschritt auf dem Laufenden halten.

 

4. Wie gehen wir mit Ihrer Meldung um?

Ihre Meldung wird vertraulich behandelt. Ihre personenbezogenen Daten werden grundsätzlich nicht mit Dritten geteilt, mit Ausnahme der Daten, die wir aufgrund von gesetzlichen Verpflichtungen bereitstellen müssen. Bei einer Meldung über eine Sicherheitslücke wird mit Ihrer Erlaubnis Ihr Name als Entdecker genannt. Wenn Sie diese Richtlinien einhalten, werden wir bezüglich dieser Meldung keine rechtlichen Schritte einleiten. Außerdem erhalten Sie für jede gerechtfertigte Meldung eine Belohnung in Höhe von 50 Euro. Das Ausmaß der Sicherheitslücke und die Qualität der Meldung können zu einer höheren Belohnung führen.

 

Digital Angel Netherlands B.V. (HR [KvK] 8052626), mit satzungsmäßigem Sitz am Reactorweg 160 im niederländischen Utrecht. Diese Erklärung zur Verantwortungsvollen Offenlegung von Sicherheitslücken unterliegt fortlaufenden Änderungen.

 

digitalAngel, Juni 2019

Sie möchten mehr erfahren? Stellen Sie uns Ihre Frage!

Kontakt