Richtlinie zur Offenlegung von Sicherheitslücken

1. Zweck

Zweck dieser Richtlinie zur Offenlegung von Sicherheitsschwachstellen ist es, klare Richtlinien für die Identifizierung, Meldung und Behebung von Sicherheitsschwachstellen im Zusammenhang mit unseren Systemen, Produkten und Dienstleistungen zu erstellen. In dieser Richtlinie wird dargelegt, welche Arten von Schwachstellen für die Untersuchung und Behebung in Frage kommen und welche explizit nicht in Frage kommen.

 

2. Geltungsbereich

Diese Richtlinie gilt für alle Personen, einschließlich externer Sicherheitsforscher, die potenzielle Sicherheitsschwachstellen in unseren Systemen, Produkten oder Dienstleistungen melden möchten. Sie soll sicherstellen, dass Schwachstellen verantwortungsvoll gemeldet und so behandelt werden, dass sowohl unsere Benutzer als auch unsere Systeme geschützt werden.

 

3. In den Geltungsbereich fallende Schwachstellen

Die folgenden Arten von Schwachstellen fallen in den Geltungsbereich dieser Richtlinie und werden in Übereinstimmung mit unseren internen Sicherheitsprozessen behandelt:

  • Probleme bei der Authentifizierung: Schwachstellen in Authentifizierungsmechanismen, Ausfüllen von Anmeldedaten oder Umgehung von Anmeldemechanismen.
  • Probleme mit der Autorisierung: Unzulässige Zugriffskontrollen, einschließlich der Ausweitung von Privilegien, unbefugter Zugriff auf sensible Daten und unzulässige Rollenberechtigungen.
  • Cross-Site Scripting (XSS): Jede Form von XSS, einschließlich gespeichertem, reflektiertem und DOM-basiertem XSS, die es Angreifern ermöglichen kann, bösartige Skripte einzuschleusen.
  • Cross-Site Request Forgery (CSRF): Schwachstellen, bei denen Angreifer Benutzer zur Ausführung von Aktionen verleiten können, die sie nicht beabsichtigen, indem sie das Vertrauen ausnutzen, das eine Webanwendung in den Browser des Benutzers hat.
  • SQL-Einschleusung: Schwachstellen, die es einem Angreifer ermöglichen, in die Datenbankabfragen einer Anwendung einzugreifen und so möglicherweise sensible Informationen preiszugeben oder zu verändern.
  • Entfernte Code-Ausführung (RCE): Jede Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Code auf einem Server- oder Client-Rechner auszuführen.
  • Server-Side Request Forgery (SSRF): Schwachstellen, bei denen Angreifer unbefugte Anfragen von einem anfälligen Server stellen können.
  • Unsichere direkte Objektreferenzen (IDOR): Schwachstellen, bei denen durch Benutzereingaben interne Objekte aufgedeckt oder manipuliert werden können, so dass ein unbefugter Datenzugriff möglich ist.
  • Offenlegung sensibler Daten: Unbeabsichtigte Offenlegung sensibler Informationen, einschließlich unsachgemäßer Verschlüsselung, unsicherer Datenübertragung oder hartcodierter Anmeldeinformationen.
  • Falsche Sicherheitskonfigurationen: Standardkonfigurationen, unvollständige oder Ad-hoc-Konfigurationen, offene Cloud-Speicher oder andere Fehlkonfigurationen, die ausgenutzt werden könnten.

 

4. Schwachstellen, die nicht in den Geltungsbereich fallen

Die folgenden Arten von Schwachstellen fallen ausdrücklich nicht in den Geltungsbereich dieser Richtlinie und werden nicht unterstützt oder behandelt:

  • Physische Angriffe: Jede Schwachstelle, die einen physischen Zugriff auf die Hardware oder die Umgebung erfordert. Dazu gehören unter anderem die Manipulation von Hardware, physischer Diebstahl oder der Zugriff durch Social Engineering.
  • Denial of Service (DoS)- oder Distributed Denial of Service (DDoS)-Angriffe: Jeder Angriff, der auf einer hohen Bandbreitennutzung, Netzwerksättigung oder Ressourcenerschöpfung beruht, um die Verfügbarkeit von Diensten zu stören.
  • Social-Engineering-Angriffe: Techniken, bei denen Personen manipuliert werden, damit sie vertrauliche Informationen preisgeben, wie z. B. Phishing- oder Imitationsangriffe.
  • Schwachstellen in Diensten von Drittanbietern: Probleme, die ausschließlich mit Diensten, Frameworks oder Bibliotheken von Drittanbietern zusammenhängen, wobei die Schwachstelle nicht direkt unsere eigene Codebasis oder Konfigurationen betrifft.
  • Veraltete Software: Schwachstellen im Zusammenhang mit der Verwendung von veralteter Software oder nicht unterstützten Versionen, bei denen ein Upgrade auf eine unterstützte Version das Problem entschärfen würde.
  • Browser-spezifische Probleme: Fehler oder Schwachstellen, die spezifisch für bestimmte Webbrowser oder Browsererweiterungen sind und kein plattformübergreifendes Risiko darstellen.
  • Offenlegung von Informationen mit geringem Risiko: Probleme, die eine geringfügige Offenlegung von Informationen beinhalten, wie z. B. Versionsnummern oder nicht sensible Daten, ohne dass ein direkter Ausnutzungspfad besteht.
  • Selbstverschuldete Fehlkonfigurationen: Probleme, die sich aus Benutzerfehlern ergeben, wie z. B. unsichere Konfigurationen, die vom Benutzer eingestellt wurden und nicht der standardmäßigen oder empfohlenen Konfiguration unserer Systeme oder Produkte entsprechen.

 

5. Richtlinien für die Meldung

Wenn Sie eine Schwachstelle melden, fügen Sie bitte die folgenden Informationen bei, um eine rechtzeitige Überprüfung und Lösung zu ermöglichen:

  • Eine detaillierte Beschreibung der Schwachstelle, einschließlich der möglichen Auswirkungen.
  • Schritte zur Reproduktion des Problems, einschließlich relevanter Proof-of-Concept-Codes oder Screenshots.
  • Alle Abhilfemaßnahmen, die Sie identifiziert oder getestet haben.

Berichte können über cert (at) hawe.com eingereicht werden. Bitte geben Sie in der Betreffzeile einen klaren Hinweis auf die Art der Schwachstelle.

 

6. Kenntnisnahme und Reaktion

Wir verpflichten uns, alle Meldungen von Sicherheitslücken innerhalb eines angemessenen Zeitrahmens zu bestätigen und darauf zu reagieren. Nach Erhalt einer Meldung werden wir:

  • Den Eingang der Meldung innerhalb von 3 Werktagen bestätigen.
  • die Gültigkeit und Auswirkung der gemeldeten Schwachstelle beurteilen.
  • einen geschätzten Zeitrahmen für die Behebung angeben, falls die Schwachstelle bestätigt wird und in den Bereich fällt.

 

7. Rechtlicher Safe Harbor

Wir schätzen die Arbeit von Sicherheitsforschern und setzen uns dafür ein, dass eine verantwortungsvolle Berichterstattung frei von rechtlichen Risiken ist. Solange Sie diese Richtlinie befolgen, werden wir Ihre Ergebnisse in verantwortungsvoller Weise berücksichtigen und keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einleiten.

 

8. Aktualisierungen der Richtlinie

Diese Richtlinie kann von Zeit zu Zeit aktualisiert werden, um Änderungen in der Sicherheitslandschaft oder unseren eigenen Sicherheitspraktiken Rechnung zu tragen. Wir empfehlen Ihnen, diese Richtlinie regelmäßig auf Aktualisierungen zu überprüfen.

 

9. Kontaktinformationen

Bei Fragen oder Unklarheiten in Bezug auf diese Richtlinie wenden Sie sich bitte an uns unter cert (at) hawe.com

---

Diese Richtlinie soll sowohl unsere Benutzer als auch unsere Systeme schützen und gleichzeitig ein kooperatives Umfeld für die verantwortungsvolle Offenlegung von Schwachstellen fördern. Vielen Dank, dass Sie uns helfen, die Sicherheit und Integrität unserer Dienste aufrechtzuerhalten.