Verantwortungsvolle Offenlegungspolitik

Verantwortliche Offenlegungspolitik

Grundsätze

Wir betrachten die Sicherheit unserer Systeme als oberste Priorität. Aber egal, wie viel Aufwand wir in die Systemsicherheit stecken, es können immer noch Schwachstellen vorhanden sein.

Wenn Du eine Schwachstelle entdeckst, möchten wir davon erfahren, damit wir Maßnahmen ergreifen können, um sie so schnell wie möglich zu beheben. Wir bitten Dich, uns zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Bitte tue Folgendes:

    • Sende Deine Entdeckungen per E-Mail an security@sfmsystems.de. Verschlüssele Deine Funde mit unserem PGP-Key, um zu verhindern, dass diese kritischen Informationen in die falschen Hände geraten;
    • Nutze die entdeckte Schwachstelle oder das Problem nicht aus, indem Du z.B. mehr Daten herunterlädst als nötig, um die Schwachstelle zu demonstrieren, oder die Daten anderer Personen löschst oder änderst;
    • Teile das Problem nicht mit anderen, bis es behoben ist;
    • Vermeide Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen von Drittanbietern;
    • Stelle ausreichend Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber komplexe Schwachstellen können weitere Erklärungen erfordern.

Was wir versprechen:

    • Wir werden innerhalb einer Woche auf Deinen Bericht mit unserer Bewertung und einem voraussichtlichen Lösungsdatum antworten;
    • Wenn Du den obigen Anweisungen gefolgt bist, werden wir keine rechtlichen Schritte gegen Dich in Bezug auf den Bericht einleiten;
    • Wir werden Deinen Bericht streng vertraulich behandeln und Deine persönlichen Daten nicht ohne Deine Erlaubnis an Dritte weitergeben;
    • Wir werden Dich über den Fortschritt bei der Lösung des Problems informieren;
    • In den öffentlichen Informationen über das gemeldete Problem werden wir Deinen Namen als Entdecker des Problems nennen (sofern Du dies nicht anders wünschst);
    • Als Zeichen unserer Dankbarkeit für Deine Unterstützung bieten wir eine Belohnung für jeden Bericht über ein Sicherheitsproblem, das uns noch nicht bekannt war. Die Höhe der Belohnung wird basierend auf der Schwere des Lecks und der Qualität des Berichts festgelegt. Die Mindestbelohnung ist ein 50€-Gutschein.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen und möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach dessen Lösung spielen.