Hast du eine Sicherheitslücke in unseren Systemen gefunden?
Wenn du eine technische Schwachstelle in unseren Systemen entdeckst, gibt es ein Verfahren, um sie zu melden. Dieser Prozess wird als Coordinated Vulnerability Disclosure (CVD) bezeichnet. Wenn du jedoch eine Schwachstelle in einem System oder Produkt entdeckst, das nicht zu unserer Plattform gehört, solltest du sie zunächst dem Eigentümer des betreffenden Systems oder Produkts melden. Du solltest dich nur dann an unser technisches Team wenden, wenn die zuständige Organisation nicht angemessen reagiert, um die Schwachstelle zu beheben. In solchen Fällen schalten wir uns als Vermittler ein und arbeiten daran, sie auf die Schwachstelle aufmerksam zu machen. Bei Fragen oder Kommentaren, die nichts mit Cybersicherheit zu tun haben, kannst du uns gerne über die Seite "Kontakt" kontaktieren.
Wenn du außerdem Schwachstellen entdeckst, die mehrere Systeme oder Lieferanten betreffen, zögere nicht, dich mit unserem technischen Team in Verbindung zu setzen. In diesen Fällen können wir bei der Koordinierung einer Lösung für die festgestellten Schwachstellen helfen. Du kannst diese Schwachstellen über unser Kontaktformular melden und wir werden uns mit dir in Verbindung setzen, um den Lösungsprozess zu erleichtern.
Welche Schwachstellen können Gegenstand eines CVD sein?
Du kannst uns Schwachstellen melden, wenn sie das Potenzial haben, die Systemsicherheit zu gefährden. Das können z. B. Schwachstellen sein, mit denen Anmeldeformulare umgangen werden können oder die unbefugten Zugriff auf Datenbanken mit persönlichen Daten ermöglichen.
Es ist wichtig zu wissen, dass nicht jeder Systemfehler als Sicherheitslücke gilt. Die folgenden Fehler führen in der Regel nicht zu einem Sicherheitsverstoß und wir bitten dich, uns solche Probleme nicht zu melden:
- Defekte, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten nicht beeinträchtigen.
- Die Verfügbarkeit der WordPress xmlrpc.php-Funktionalität, wenn ihr Missbrauch auf einen so genannten "Pingback Denial-of-Service"-Angriff beschränkt ist.
- Die Möglichkeit, Cross-Site-Scripting auf einer statischen Website oder einer Website, die keine sensiblen (Nutzer-)Daten verarbeitet, einzusetzen.
- Die Verfügbarkeit von Versionsinformationen, zum Beispiel über eine info.php-Datei. Eine mögliche Ausnahme in diesem Szenario ist, wenn aus den Versionsinformationen hervorgeht, dass das System Software verwendet, die bekannte Sicherheitslücken enthält.
- Das Fehlen von HTTP-Sicherheits-Headern, wie sie von Mechanismen wie dem Cross-Origin Resource Sharing (CORS) verwendet werden, es sei denn, das Fehlen eines Sicherheits-Headers führt nachweislich zu einem Sicherheitsproblem.
- Zertifikate wie SSL oder Domänennamen, die demnächst ablaufen.
Wenn du dir nicht sicher bist, ob der von dir gefundene Fehler unter eine der oben genannten Ausnahmen fällt, kannst du uns den Fehler trotzdem melden. Wir werden dann feststellen, ob es sich um eine Schwachstelle handelt und entsprechende Folgemaßnahmen ergreifen.
Wie meldest du CVDs?
Bitte führe die folgenden Schritte aus:
- Fülle das Kontaktformular aus und teile uns mit, was du gefunden hast.
- Beschreibe in deinem Bericht bitte so genau wie möglich, wie das Problem reproduziert werden kann, denn das hilft, den Lösungsprozess zu beschleunigen. Normalerweise reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber bei komplexeren Schwachstellen können zusätzliche Informationen erforderlich sein. In solchen Fällen werden wir dich kontaktieren.
- Bitte gib zumindest eine E-Mail-Adresse oder eine Telefonnummer an, damit wir dich kontaktieren können, falls wir noch Fragen haben. Wir bevorzugen die Kommunikation per E-Mail.
Stelle sicher, dass du:
- Melde die Sicherheitslücke so schnell wie möglich, nachdem du sie entdeckt hast.
- Erzähle niemandem von dem Sicherheitsproblem, bis du von uns hörst, dass es behoben wurde.
- Mit dem Wissen über die Sicherheitslücke verantwortungsvoll umgehst, indem du zum Beispiel keine weiteren Maßnahmen ergreifst, die über das hinausgehen, was zum Nachweis der Sicherheitslücke notwendig ist.
Was darfst du nicht tun?
Du darfst auf keinen Fall eine der folgenden Handlungen durchführen:
- Schadsoftware in das System einschleusen.
- Kopieren, Bearbeiten oder Löschen von Daten im System.
- Änderungen an dem System vornehmen.
- Sich wiederholt Zugang zum System verschaffen oder den Zugang zum System mit anderen teilen.
- Brute-Force-Angriffe durchführen, um Zugang zu einem System zu erhalten.
- Denial-of-Service-Angriffe oder Social Engineering durchführen.
Grundsätze unserer CVD-Richtlinie
- Wenn du deine Meldung in Übereinstimmung mit dem Verfahren einreichst, hat das keine rechtlichen Konsequenzen. Wir behandeln deine Meldung vertraulich und geben deine persönlichen Daten nicht ohne deine Zustimmung an Dritte weiter, es sei denn, wir sind gesetzlich oder per Gerichtsbeschluss dazu verpflichtet.
- Wir werden dich nur dann als den Entdecker der fraglichen Schwachstelle identifizieren, wenn du uns die Erlaubnis dazu gibst.
- Wir bestätigen den Eingang der Meldung innerhalb eines Arbeitstages und senden dir dann innerhalb von drei Arbeitstagen eine Bewertung deiner Meldung zu. Außerdem halten wir dich über die Fortschritte bei der Behebung des Problems auf dem Laufenden.
- Unser Sicherheitsteam wird sich bemühen, das von dir gemeldete Sicherheitsproblem innerhalb von maximal 60 Tagen zu beheben. Sobald das Problem behoben ist, besprechen wir mit dir, ob und wie wir die Einzelheiten des Problems und seiner Lösung veröffentlichen.
- Unser Sicherheitsteam wird dir auch eine Belohnung anbieten, um dir für deine Hilfe zu danken. Diese Belohnung kann von einem Kaffee über ein T-Shirt bis hin zu Geschenkgutscheinen reichen und hängt von der Schwere der Sicherheitslücke und der Qualität des Berichts ab. Um für eine Belohnung in Frage zu kommen, muss es sich bei der Meldung um eine schwerwiegende Sicherheitslücke handeln, die unser Sicherheitsteam noch nicht gesehen hat.