Skip to content
Snippets Groups Projects

Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen

Merged Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen
mr-responsible-disclosure into main
Merged Marco Holz requested to merge mr-responsible-disclosure into main
Compare
and
Show latest version
1 file
+ 13
6
Compare changes
  • Side-by-side
  • Inline
docs/details/responsible-disclosure.mdx
+ 13
6
# Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen
Bei der FITKO legen wir sehr viel Wert auf die Sicherheit der von uns betrieben Systeme.
Niemand ist perfekt und so kann es trotzdem passieren, dass eine Schwachstelle in einem von der FITKO betriebenen Projekte und Produkte entdeckt wird.
Niemand ist perfekt und so kann es trotzdem passieren, dass eine Schwachstelle in einem der von der FITKO betriebenen Projekte und Produkte entdeckt wird.
Wir würden uns freuen, wenn ihr uns über so eine Schwachstelle so schnell wie möglich informiert, damit wir zeitnah Maßnahmen zum Schutz von FIT-Connect und der Nutzer:innen einleiten können.
Im folgenden soll daher unser Umgang mit Schwachstellen im Detail beschrieben werden.
Dazu gehört auch zu erklären, wie ihr uns Schwachstellen melden könnt und wie wir dann im Anschluss mit den von euch gemeldeten Schwachstellen verfahren.
Dazu gehört auch, zu erklären, wie ihr uns Schwachstellen melden könnt und wie wir dann im Anschluss mit den von euch gemeldeten Schwachstellen verfahren.
Alternativ findet ihr die wesentlichen Informationen in Kurzform in der Security.txt <!-- TODO: Link ergänzen -->
## Meldung von Schwachstellen
Wenn Du glaubst, eine Schwachstelle in FIT-Connect oder einem anderen von der FITKO betriebenen Dienst gefunden zu haben, teile uns dies bitte so schnell wie möglich nach Entdeckung mit, vorzugsweise per E-Mail an <!-- TODO: Mail-Adresse ergänzen (obfuscated!) -->.
Verwende dabei bitte unseren PGP-Schlüssel mit dem Fingerprint <!-- TODO: Link und Fingerprint ergänzen -->.
Wenn Du Dir einen telefonischen Austausch wünschst, gebe bitte eine Telefonnummer an, unter der wir Dich erreichen können.
Wenn ihr glaubt, eine Schwachstelle in FIT-Connect oder einem anderen von der FITKO betriebenen Dienst gefunden zu haben, teilt uns dies bitte so schnell wie möglich nach Entdeckung mit, vorzugsweise per E-Mail an <!-- TODO: Mail-Adresse ergänzen (obfuscated!) -->.
Verwendet dabei bitte unseren PGP-Schlüssel mit dem Fingerprint <!-- TODO: Link und Fingerprint ergänzen -->.
Wenn ihr einen telefonischen Austausch wünscht, gebt bitte eine Telefonnummer an, unter der wir euch erreichen können.
Folgende Details sind dabei für uns besonders relevant und helfen etwaiige Lücken schneller zu beheben:
- eine Beschreibung, wo sich die Sicherheitslücke befindet und welche potenziellen Auswirkungen sie hat;
- eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (verwendeter Browser und Version, Skripte, Zeitpunkt der Beobachtung, Screenshots, etc.);
- Deine Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit wir zum Fortschritt bei der Beseitigung der Schwachstelle oder für Rückfragen Kontakt aufnehmen können (wir nehmen aber auch anonyme Meldungen ernst);
- Eure Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit wir zum Fortschritt bei der Beseitigung der Schwachstelle oder für Rückfragen Kontakt aufnehmen können (wir nehmen aber auch anonyme Meldungen ernst).
### Rahmenbedingungen für einen verantwortungsvollen Umgang
@@ -35,3 +37,8 @@ Wir überwachen unser Netzwerk und unsere Dienste zusammen mit unseren Partnern
Wenn eine mutmaßliche Schwachstelle in einem unserer IT-Systeme gemeldet wird, behandeln wir diese Meldung wie folgt:
- Innerhalb von drei Werktagen nach der Meldung bekommt ihr eine Empfangsbestätigung.
- Innerhalb von drei Werktagen nach der Empfangsbestätigung erhaltet ihr eine Reaktion, die eine Beurteilung der Meldung und das voraussichtliche Datum der Lösung beinhaltet.
### Weiterführende Informationen
- Empfehlung für IT-Hersteller „[Handhabung von Schwachstellen](https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_019.pdf?__blob=publicationFile&v=1)“ des BSI
- Blogbeitrag „[Wie gehe ich mit einer Sicherheitslücke um, die ich entdeckt habe?](https://jugendhackt.org/blog/wie-gehe-ich-mit-einer-sicherheitsluecke-um-die-ich-entdeckt-habe/)“ auf jugendhackt.org
- Vortrag „[Deine Software, die Sicherheitslücken und ich](https://media.ccc.de/v/rc3-2021-xhain-278-deine-software-die-si)“ auf media.ccc.de