Responsible Disclosure

Schwachstellen können auf zwei Arten entdeckt werden: Sie stoßen zufällig darauf, etwa bei der normalen Nutzung einer digitalen Umgebung, oder aber Sie setzen sich aktiv dafür ein, eine Schwachstelle zu finden. Unsere Responsible Disclosure Policy ist keine Aufforderung, unser Firmennetzwerk aktiv auf Schwachstellen zu scannen – wir überwachen unser Netzwerk selbst. Somit besteht eine hohe Wahrscheinlichkeit, dass ein aktiver Scan durch unser Security Operation Center (SOC) erkannt wird. Hierdurch können unnötige Kosten entstehen. Was hingegen unsere Produkte betrifft, sind Sie herzlich eingeladen, aktiv nach Schwachstellen in einer Offline- und Nicht-Projektbasierten Umgebung zu suchen und Ihre Erkenntnisse an uns weiterzureichen. Aus Verantwortung gegenüber unseren Kunden möchten wir keine Hacking-Versuche auf ihre Systeme provozieren, dennoch möchten wir auch hier so früh wie möglich erfahren, wenn Schwachstellen bei ihnen gefunden werden, damit wir diese umgehend beheben können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Strukturen noch besser zu schützen.

WIR BITTEN SIE

• Ihre etwaigen Erkenntnisse so schnell wie möglich an responsibledisclosure@forcyd.com zu senden. Sichern Sie Ihre Kommunikation dabei bitte mit unserem PGP-Schlüssel (Fingerabdruck: C569 7486 1AD5 E1E0 9FD5 C158 13BC 0557 8803 0BFD).
• Bitte missbrauchen Sie die Schwachstelle nicht, indem Sie beispielsweise Daten herunterladen, ändern oder löschen. Wir nehmen Ihren Bericht immer ernst und untersuchen jeden Verdacht auf eine Sicherheitslücke.
• Erwähnen Sie das Problem nicht gegenüber Dritten, bis es gelöst ist.
• Führen Sie keine Angriffe per Social Engineering oder Hacking-Tools oder Schwachstellen-Scanner durch.
• Geben Sie uns genügend Informationen, um das Problem reproduzieren zu können, damit wir es so schnell wie möglich lösen können. Normalerweise ist die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, komplexere Schwachstellen erfordern möglicherweise zusätzliche Angaben.

WIR VERSPRECHEN IHNEN

• innerhalb von drei Arbeitstagen auf Ihren Bericht zu antworten und eine erste Einschätzung sowie ein Zeitfenster für eine Lösung mitzuteilen.
• Wir behandeln Ihren Bericht selbstverständlich vertraulich und geben Ihre persönlichen Informationen nicht ohne Ihre Zustimmung an Dritte weiter. Eine Ausnahme hiervon sind die Polizei und die Justiz im Falle einer Anzeige oder wenn Daten per richterlichen Beschluss beschlagnahmt werden.
• Wir halten Sie stets über den Lösungsfortschritt auf dem Laufenden.
• Bei der Berichterstattung über das gemeldete Problem werden wir, wenn Sie es wünschen, Ihren Namen dankend erwähnen.
• Leider ist es nicht möglich, rechtliche Schritte im Voraus auszuschließen. Wir sind moralisch verpflichtet, die Behörden einzuschalten, wenn wir vermuten, dass offene Schwachstellen oder Daten vorsätzlich missbraucht werden oder das Wissen darüber mit anderen geteilt wurde. Sie können jedoch sicher sein, dass eine zufällige Entdeckung in unseren Systemen nicht zur Einleitung rechtlicher Schritte führen wird.
• Als Dank für Ihre Hilfe bieten wir eine Belohnung für jeden Bericht über ein unbekanntes Sicherheitsproblem an. Wir bestimmen die Höhe der Vergütung basierend auf der Schwere der Sicherheitslücke und der Qualität des Berichts.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und halten alle beteiligten Parteien informiert. Nach der Lösung des Problems beteiligen wir uns gerne an einer Veröffentlichung zu der Thematik.

DANKSAGUNG

Zu diesem Zeitpunkt wurde keine Einzelperson oder Organisation unserer Galerie hinzugefügt.

Diese Webseite wurde im November 2023 aktualisiert.