Verantwortungsvolle Offenlegung

Unsere Richtlinie zum Melden von Sicherheitsrisiken.
Responsible Disclosure Policy.

Vertrauen steht bei uns an oberster Stelle. Daher nehmen wir den Schutz unserer Kundendaten sehr ernst.


Wir wissen, wie nützlich unabhängige Sicherheitsforscher in puncto Internetsicherheit sind. Daher unterstützen wir das entsprechende Melden von Sicherheitsrisiken, die auf unserer Website oder in unseren Anwendungen möglicherweise auftreten. Wir sind verpflichtet zur Zusammenarbeit mit Sicherheitsforschern, um uns gemeldete potenzielle Sicherheitsrisiken zu prüfen und zu beheben.


Bitte lesen Sie diese Bedingungen, bevor Sie ein Sicherheitsrisiko testen bzw. melden. Wir versprechen, keine rechtlichen Schritte oder polizeiliche Ermittlungen gegen Forscher einzuleiten, die in unsere Systeme eindringen bzw. dies versuchen, solange sie sich an diese Richtlinie halten.

 

Testen von Sicherheitsrisiken

Führen Sie bei Vorhandensein einer Test-Edition oder Developer Edition alle Sicherheitsrisikotests für derartige Instanzen durch. Verwenden Sie beim Testen unserer Onlineservices stets Test- oder Demo-Accounts.


Melden eines potenziellen Sicherheitsrisikos

Senden Sie uns das mutmaßliche Sicherheitsrisiko vertraulich per E-Mail zu. Ihre Kontaktdaten werden lediglich für die weitere Bearbeitung Ihres Anliegens verwendet. Stellen Sie uns vollständige Informationen über das mutmaßliche Sicherheitsrisiko bereit (Beschreibung, wo sich die Sicherheitslücke befindet und welche potenziellen Auswirkungen sie hat) sodass das Problem entsprechend überprüft und reproduziert werden kann. Eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (Skripte, Quellcode, Screenshots oder Bildschirmaufnahmen sind für uns hilfreich).


Nicht erlaubte Sicherheitsforschungstypen

Auch wenn wir Sie beim Ermitteln und Melden der von Ihnen in entsprechender Weise in Erfahrung gebrachten Sicherheitsrisiken unterstützen, ist das folgende Verhalten strengstens untersagt:


· Alle Dienste, die von Drittanbietern gehostet werden, sind ausgeschlossen.


· Ausführung von Aktionen, die sich möglicherweise negativ auf uns oder unsere Benutzer auswirken (Spam, Brute-Force-, Denial-of-Service-Angriffe).


· Zugriff oder versuchter Zugriff auf fremde Daten oder Informationen.


· Content Spoofing oder Text Injection.


· Clickjacking oder UI-Redressing ohne Auswirkungen auf die Sicherheit.


· Vorgaben zu Passwörtern und zur Wiederherstellung von Konten, z.B. Ablauf des Reset-Links oder Passwortkomplexität.


· Zerstörung oder Beschädigung bzw. versuchte Zerstörung oder Beschädigung fremder Daten oder Informationen.


· Durchführung physischer oder elektronischer Angriffe auf unsere Mitarbeiter, -Eigentum oder -Rechenzentren.


· Social Engineering (einschließlich Phishing) der Mitarbeiter oder unseren Vertragsnehmer.


· Durchführung von Sicherheitsrisikotests der verwendeten Dienste unter Verwendung von Nicht-Test-Accounts (zum Beispiel Developer Edition).


· Verwenden automatischer Sicherheitswerkzeuge ohne unsere ausdrückliche Genehmigung. Die Verwendung automatischer Werkzeuge kann investigative Maßnahmen oder die Blockierung Ihrer IP-Adresse(n) nach sich ziehen.


· Verletzung von Gesetzen oder Vereinbarungen zum Ermitteln von Sicherheitsrisiken.


Die Verpflichtung des Sicherheitsteams

Wir bitten Sie, nicht behobene Sicherheitsrisiken weder für Drittanbieter freizugeben noch bei diesen zu veröffentlichen. Wenn Sie ein entsprechendes Sicherheitsrisiko melden, werden wir folgende Maßnahmen in angemessener Weise ergreifen:


· Zeitlich angemessene Antwort, Bestätigung des Erhalts Ihres Berichts.


· Bereitstellung eines geschätzten Zeitraums für die Bearbeitung des Sicherheitsrisikoberichts.


· Benachrichtigung der meldenden Person oder Organisation, über die Behebung des Sicherheitsrisikos.


Wir möchten uns bei jedem Forscher bedanken, der einen Verdachtshinweis oder Sicherheitsbericht übermittelt, welcher uns dabei hilft unsere Gesamtsicherheit zu verbessern. Wenn Sie die Informationen verschlüsseln möchten, verwenden Sie bitte unseren PGP-Schlüssel.