Skip to content
Snippets Groups Projects

Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen

Merged Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen
mr-responsible-disclosure into main
Merged Marco Holz requested to merge mr-responsible-disclosure into main
Compare
and
Show latest version
1 file
+ 5
2
Compare changes
  • Side-by-side
  • Inline
docs/details/responsible-disclosure.mdx
+ 5
2
@@ -2,12 +2,12 @@
Bei der FITKO legen wir sehr viel Wert auf die Sicherheit der von uns betrieben Systeme.
Niemand ist perfekt und so kann es trotzdem passieren, dass eine Schwachstelle in einem der von der FITKO betriebenen Projekte und Produkte entdeckt wird.
Wir würden uns freuen, wenn ihr uns über so eine Schwachstelle so schnell wie möglich informiert, damit wir zeitnah Maßnahmen zum Schutz von FIT-Connect und der Nutzer:innen einleiten können.
Wir würden uns freuen, wenn ihr uns über gefundene Schwachstellen so schnell wie möglich nach dem „Responsible Disclosure“-Prinzip (auch „Coordinated Disclosure“) informiert, damit wir zeitnah Maßnahmen zum Schutz von FIT-Connect und aller Nutzer:innen einleiten können.
Im folgenden soll daher unser Umgang mit Schwachstellen im Detail beschrieben werden.
Dazu gehört auch, zu erklären, wie ihr uns Schwachstellen melden könnt und wie wir dann im Anschluss mit den von euch gemeldeten Schwachstellen verfahren.
Alternativ findet ihr die wesentlichen Informationen in Kurzform in der Security.txt <!-- TODO: Link ergänzen -->
Alternativ findet ihr die wesentlichen Informationen in Kurzform nach dem [Security.txt-Standard](https://securitytxt.org/) in der Datei [security.txt](/.well-known/security.txt).
## Meldung von Schwachstellen
@@ -20,6 +20,9 @@ Folgende Details sind dabei für uns besonders relevant und helfen etwaiige Lüc
- eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (verwendeter Browser und Version, Skripte, Zeitpunkt der Beobachtung, Screenshots, etc.);
- Eure Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit wir zum Fortschritt bei der Beseitigung der Schwachstelle oder für Rückfragen Kontakt aufnehmen können (wir nehmen aber auch anonyme Meldungen ernst).
Alternativ erreicht ihr den IT-Sicherheitsbeauftragten der FITKO, Marco Holz, unter der Telefonnummer +49 (69) 401270 139.
Weitere Kontaktdaten findet ihr [auf unserer Webseite](https://www.fitko.de/ueber-uns/wer-wir-sind).
### Rahmenbedingungen für einen verantwortungsvollen Umgang
Auch beim Umgang mit Schwachstellen sollten einige wichtige Verhaltensregeln beachtet werden: