Wir legen großen Wert auf die Sicherheit unserer IT-Systeme und Webanwendungen, die wir für unsere Kunden und Partner bereitstellen. Trotz der Einhaltung von Best Practices in der IT-Sicherheit können dennoch Schwachstellen in unseren Systemen auftreten.
Wenn Sie eine Schwachstelle in unseren Systemen oder Anwendungen entdecken, bitten wir Sie, uns darüber so schnell wie möglich zu informieren, damit wir sie schnellstmöglich beheben können.
Eine Schwachstelle melden
Wenn Sie eine Schwachstelle in unseren Systemen entdecken, bitten wir Sie, die folgenden Regeln zu beachten:
- Informieren Sie sich vor Ihrer Meldung über die Fälle, die nicht in den Geltungsbereich unserer Vulnerability Disclosure Policy fallen und in diesem Rahmen nicht bearbeitet werden (siehe unten, „Nicht-qualifizierte Schwachstellen“).
- Senden Sie uns Ihre Ergebnisse zu der Schwachstelle per E-Mail an „security@next-scientific.com“.
- Stellen Sie uns ausreichend Informationen zur Verfügung, damit wir die Schwachstelle reproduzieren und analysieren können. In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern, wie z.B. betroffene Komponenten, Auswirkungen und ggf. Screenshots oder Proof-of-Concept-Code.
- Geben Sie uns eine Kontaktmöglichkeit für Rückfragen an.
- Teilen Sie die Schwachstelle oder die damit verbundenen Informationen nicht mit Dritten oder der Öffentlichkeit, bis wir Ihnen eine Genehmigung dazu erteilt haben. Die betrifft auch die Aufbereitung von Schwachstellenmeldungen mithilfe von Drittanbietersoftware.
- Nutzen Sie die Schwachstelle nicht aus, indem Sie zum Beispiel Daten verändern, löschen, Code hochladen, Spam versenden oder Massenregistrierungen veranlassen. Greifen Sie nur auf Daten zu, die für die Demonstration der Schwachstelle erforderlich sind und offenbaren Sie keine sensiblen oder persönlichen Daten.
- Vermeiden Sie jede Aktion, die unnötige Schäden oder Beeinträchtigungen für unsere Systeme, Daten oder Nutzer verursachen könnte.
- Führen Sie keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf unser Unternehmen oder unsere Mitarbeiter durch.
Verpflichtungen und Zusagen von uns
Wenn Sie eine Schwachstelle gemäß dieser VDP melden, versprechen wir Ihnen, dass wir:
- …Ihre Meldung so schnell wie möglich bearbeiten und Ihnen eine Rückmeldung geben.
- …keine rechtlichen Schritte gegen Sie einleiten oder zulassen, solange Sie sich an die Regeln dieser VDP halten. Dies gilt nicht, wenn erkennbar kriminelle Absichten verfolgt werden.
- …uns bemühen, die Schwachstelle so schnell wie möglich zu beheben und Sie über den Fortschritt auf dem Laufenden zu halten.
- …Ihnen ggf. eine Anerkennung für Ihre Meldung gewähren, es sei denn, Sie wünschen dies nicht.
Wir danken Ihnen für Ihre verantwortungsvolle und kooperative Haltung bei der Verbesserung der IT-Sicherheit in unserem Unternehmen.
Nicht-qualifizierte Schwachstellen
Diese Vulnerability Disclosure Policy gilt nur für bestimmte Arten von Schwachstellen in unseren Systemen, die einen potenziellen Schaden oder Missbrauch ermöglichen. Die folgenden Schwachstellen oder Angriffe fallen nicht unter unsere Policy und werden nicht anerkannt oder belohnt:
- Angriffe, die physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
- Berichte von automatisierten Tools oder Scans, die keine ausreichende Erklärung oder Dokumentation enthalten.
- Formulare ohne CSRF-Token, es sei denn, sie haben eine hohe Kritikalität (CVS-Score über 5).
- Die Verwendung von unsicheren oder „schwachen“ Verschlüsselungsverfahren oder Algorithmen, die keine praktische Auswirkung auf die Sicherheit haben.
- Fehlende Sicherheits-Header, die keine direkte Auswirkung auf die Ausnutzbarkeit einer Schwachstelle haben.
- Best Practices oder allgemeine Empfehlungen für die Verbesserung der Sicherheit, wie z.B. Zertifikat-Pinning oder Sicherheits-Header, die keine spezifische Schwachstelle adressieren.