Richtlinie zur verantwortungsvollen Offenlegung (Responsible Disclosure Policy)

 

 

I. Einleitung

Bei der DCSO Deutschen Cyber-Sicherheitsorganisation GmbH nehmen wir die Informationssicherheit und den Schutz personenbezogener Daten unserer Vertragspartner sehr ernst. Wir sind der Überzeugung, dass die Zusammenarbeit mit IT-Sicherheitsexpert:innen außerhalb der DCSO entscheidend ist, um potenzielle Schwachstellen in unseren Produkten und Diensten zu identifizieren und zu beheben.

Die vorliegende Richtlinie zur verantwortungsvollen Offenlegung beschreibt unseren Ansatz zur Bearbeitung von Schwachstellenmeldungen und die Rahmenbedingungen, deren Einhaltung wir von IT-Sicherheitsforschenden erwarten, wenn sie Sicherheitsprobleme oder Schwachstellen ermitteln bzw. melden möchten.

IT-Sicherheitsforschende:r im Sinne dieser Policy ist jede Person, die eine Schwachstelle ermittelt und/oder meldet.

 

II. Anwendungsbereich

Diese Richtlinie gilt für relevante Schwachstellen, die folgende Bereiche betreffen:

      • Unsere E-Mail-Infrastruktur
      • Unsere O365-, Azure- oder AWS-Tenants
      • Alle Webanwendungen unter unserer Domain dcso.de oder deren Subdomains
      • Alle APIs unter unserer Domain dcso.de oder deren Subdomains
      • Alle Systeme im öffentlichen IP-Bereich 185.183.125.0/22
      • Alle Softwareprojekte, die über unser Unternehmens-GitHub-Konto unter https://github.com/DCSO veröffentlicht werden und nicht ausdrücklich als eingestellt markiert sind

 

III. Identifizieren und Melden einer Schwachstelle

1. Wenn Sie der Meinung sind, eine Schwachstelle in einem unserer Produkte oder IT-Dienste gefunden zu haben, gehen Sie bitte wie folgt vor:

      • Prüfen Sie zunächst, ob Ihre Meldung in den Anwendungsbereich dieser Richtlinie fällt.
      • Senden Sie Ihre Meldung bitte per E-Mail unserem IT-Sicherheitsteam unter blueteam@dcso.de.
      • Um die Wahrung der Vertraulichkeit der übermittelten Daten zu wahren, verschlüsseln Sie ihre Meldung bitte mit unserem PGP-Schlüssel. Unser PGP-Schlüssel kann hier heruntergeladen werden.

 

2. Um uns zu helfen, das Problem nachzuvollziehen und schnell und effektiv zu beheben, fügen Sie bitte folgende Informationen in Ihre Meldung ein:

      • Eine detaillierte Beschreibung der Schwachstelle.
      • Eine Schritt-für-Schritt-Darstellung, wie die Ausnutzung der Schwachstelle reproduziert werden kann.
      • Falls möglich / zutreffend: relevante Screenshots oder Proof-of-Concept-Code.
      • Ihre Kontaktdaten für etwaige Rückfragen.

 

3. Beim Identifizieren und Melden von Schwachstellen erwarten wir, dass IT-Sicherheitsforschende folgendes einhalten:

      • Eine entdeckte Schwachstelle darf nicht durch z.B. weiteres Herunterladen, Verändern oder Löschen von Daten oder das Hochladen von Code ausgenutzt werden.
      • Es dürfen keine Informationen über die Schwachstelle an dritte Personen oder Institutionen weitergegeben werden, es sei denn, die DCSO hat der Weitergabe ausdrücklich (schriftlich) zugestimmt.
      • Eine gefundene Schwachstelle darf nicht dazu verwendet werden, um in Programmen Dritter Schwachstellenmeldungen aufzubereiten oder weiter zu vermitteln.
      • Es dürfen keine Angriffe auf die IT-Systeme oder -Dienste der DCSO durchgeführt werden, durch die die Infrastruktur oder Personen kompromittiert, verändert oder manipuliert werden.
      • Es dürfen keine Social Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam Angriffe auf die DCSO durchgeführt werden.
      • Bitte übermitteln Sie keine Berichte von automatisierten Tools/Scans ohne eine erklärende Dokumentation.

 

4. Auch wenn wir die Bemühungen der IT-Sicherheitsgemeinschaft schätzen, fallen vor allem die folgenden Arten von Tests und Ergebnissen nicht unter den Schutz unserer Richtlinie zur verantwortungsvollen Offenlegung:

      • Denial-of-Service (DoS)-Angriffe
      • Spamming-Techniken
      • Social Engineering-Angriffe gegen Personen, wie z.B. Phishing
      • Physische Angriffe auf unsere Infrastruktur
      • Typische Webanwendungsschwachstellen, die nur informativen Charakter haben oder ein sehr geringes Risiko darstellen, wie beispielsweise:
          • Fehlende Security Header (z.B. X-Frame-Options, Content-Security-Policy)
          • Unnötigerweise unterstützte HTTP-Methoden (z.B. TRACE, OPTIONS)
          • Offenlegung von Informationen zur eingesetzten Dienstversion
          • Clickjacking auf Seiten ohne sensible Aktionen
          • Einsatz einer bekanntermaßen anfälligen Bibliothek ohne konkretes Exploitszenario
          • Probleme im Zusammenhang mit Passwortkomplexitätsanforderungen oder deren nicht durchgesetzten Richtlinien
          • Berichte über veraltete Softwareversionen ohne spezifisches Proof-of-Concept-Exploit

 

IV. Zeitrahmen für die Offenlegung

      • Offenbaren Sie die Schwachstelle nicht gegenüber anderen, bevor wir die Gelegenheit hatten, sie zu beheben. Veröffentlichen Sie keine sensiblen Informationen, die Sie während Ihrer Recherche erlangt haben.
      • Die DCSO gibt Schwachstellen in der Regel erst öffentlich bekannt, wenn Patches oder abmildernde Lösungen verfügbar sind.
      • Sollte der Eindruck entstehen, dass wir nicht angemessen auf Ihre Meldung reagieren, steht der Weg einer Eskalation über CERT-BUND als verantwortliche Eskalationsstelle offen.

 

V. Unsere Verpflichtung

Die DCSO verpflichtet sich, die IT-Sicherheitsforschenden während des Behebungsprozesses auf dem Laufenden zu halten und ihnen Anerkennung zu zollen, sobald das Problem behoben wurde bzw. öffentlich bekannt gegeben wird.

Wenn Sie uns eine Schwachstelle gemäß dieser Richtlinie melden, verpflichten wir uns zu Folgendem:

      • Bestätigung: Wir bestätigen den Eingang Ihres Berichts innerhalb von 3 Werktagen.
      • Behebung: Wir beheben die Schwachstelle so schnell wie möglich und halten Sie über unseren Fortschritt auf dem Laufenden. Ebenso erfolgt eine Bewertung der Validität der Schwachstelle, die wir Ihnen mitteilen.
      • Anerkennung: Wenn Sie dies wünschen, erwähnen wir Sie in unseren Release-Notizen oder in der „Hall of Fame“ am Ende dieses Dokuments, sobald die Schwachstelle behoben ist. Eine Nennung in der „Hall of Fame“ oder in unseren Release-Notizen umfasst in diesem Fall die Beschreibung der geschlossenen Schwachstelle und Namen oder „Alias“ des Melders.
      • Anonymität: Der Bericht des Melders wird von der DCSO vertraulich behandelt und personenbezogene Daten des IT-Sicherheitsforschenden werden datenschutzkonform verarbeitet und ohne dessen ausdrückliche Zustimmung nicht an Dritte weitergegeben.
      • Keine Strafverfolgung: Wenn Sie sich an die in dieser Richtlinie genannten Voraussetzungen halten und auch im Übrigen nicht gegen geltendes Recht verstoßen, werden wir keine rechtlichen Schritte gegen Sie einleiten. Sollten Sie erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgen, gilt diese Regelung nicht.

 

Eine finanzielle Entlohnung / Auszahlung eines sog. „Bug Bounty“ für bestätigte Schwachstellen ist nicht vorgesehen. Bitte sehen Sie von diesbezüglichen Anfragen ab.

 

VI. Kontakt

Wenn Sie Fragen zu dieser Richtlinie haben, kontaktieren Sie bitte unser IT-Sicherheitsteam unter blueteam@dcso.de.

Vielen Dank, dass Sie uns dabei helfen, unsere Systeme sicherer zu machen!

 

 

Durch das Befolgen dieser Richtlinie möchten wir eine sicherere Umgebung für unsere Vertragspartner schaffen und die Zusammenarbeit mit der Sicherheitsgemeinschaft fördern. Wir schätzen Ihre Bemühungen, unsere Anwendungen und Dienste sicher zu halten.