Richtlinie zur Meldung / Offenlegung von Schwachstellen (Deutsch/German)

Trotz strengster Anforderungen an die Sicherheit unserer Systeme können Schwachstellen nicht immer ausgeschlossen werden. Daher ermutigen wir Sicherheitsforschende, uns über sicherheitsrelevante Schwachstellen im Zusammenhang mit unseren Systemen zu informieren, damit wir schnellstmöglich die notwendigen Schritte zur Behebung einleiten können.

Wenn Sie sich gewissenhaft bemühen, unsere Richtlinie zu Whitehat-Sicherheitsuntersuchungen einzuhalten, betrachten wir Ihre Untersuchung als genehmigt. Wir werden gern mit Ihnen zusammenarbeiten, um die von Ihnen gemeldete Schwachstelle zu analysieren und schnellstmöglich zu schließen.

Die ]init[ AG wird keine rechtlichen Schritte im Zusammenhang mit Ihren Whitehat-Sicherheitsuntersuchungen in Übereinstimmung mit dieser Richtlinie einleiten. Sollte ein Dritter rechtliche Schritte gegen Sie wegen solcher Aktivitäten einleiten, werden wir auf unsere Genehmigung hinweisen.

Whitehat-Sicherheitsuntersuchungen

Im Rahmen dieser Richtlinie bezeichnet der Begriff „Whitehat-Sicherheitsuntersuchungen“ solche Aktivitäten, bei denen

• Sie uns so schnell wie möglich die Entdeckung einer tatsächlichen oder potenziellen Schwachstelle melden;
• Sie, soweit irgend möglich, jede Verletzung der Privatsphäre, die Beeinträchtigung von Nutzungsmöglichkeiten, die Störung oder Unterbrechung unserer Dienste sowie die Zerstörung, Abschöpfung oder Manipulation von Daten vermeiden;
• Sie Exploits nur in dem Umfang verwenden, der notwendig ist, um das Vorhandensein einer Schwachstelle zu bestätigen;
• Sie Daten, die Sie während Ihrer Tätigkeiten heruntergeladen haben, nicht der Öffentlichkeit und nicht Dritten zugänglich machen;
• Sie die Öffentlichkeit oder Dritte nicht über Schwachstellen oder Sicherheitslücken informieren, bevor diese gelöst sind und die Veröffentlichung mit uns vereinbart ist.

Nicht als Whitehat-Sicherheitsuntersuchungen gelten:

• Angriffe auf die physische Sicherheit;
• Social Engineering, Bots, Spam oder Massenregistrierungen sowie die Durchführung von automatisierten Tests von Webformularen und deren Endpunkten;
• Brute-Force-Angriffe;
• (Verteilte) Dienstblockade / Denial of service (DoS, DDoS) Tests oder andere Tests, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen;
• Die Verwendung von hochintensiven, invasiven oder zerstörerischen Tools;
• Malware (Virus, Wurm, Trojaner usw.) in unseren Systemen installieren sowie sich dauerhaften Zugriff zu verschaffen.

Meldung von gefundenen Schwachstellen

Melden Sie uns die Schwachstellen bitte ausschließlich über abuse@init.de.

Verschlüsseln Sie Ihre Ergebnisse bitte mit unserem PGP-Schlüssel, damit diese sensiblen Informationen nicht in falsche Hände geraten.

PGP-Schlüssel: https://www.init.de/security/abuse-at-init-pgp.asc

Bitte geben Sie uns genügend Informationen, um das Problem zu reproduzieren, so dass wir in der Lage sind, es so schnell wie möglich zu beheben.

Nach Ihrer Meldung und anschließender Bestätigung durch uns, löschen Sie bitte sämtliche Ihnen bekannt gewordenen Daten im Zusammenhang mit Ihren Sicherheitsuntersuchungen dauerhaft.

Wenn Sie uns eine Sicherheitslücke melden, werden wir

• Ihre Meldung schnellstmöglich beantworten und Ihnen unsere Einschätzung mitteilen;
• Die Meldung streng vertraulich behandeln;
• Sie sofern möglich informieren, sobald die Schwachstelle behoben ist;
• Die von Ihnen bereitgestellten personenbezogenen Daten (z.B. Ihre E-Mail-Adresse und Ihren Namen) im Einklang mit den geltenden Datenschutzbestimmungen verarbeiten und nicht ohne Ihre Zustimmung an Dritte weitergeben;
• Bei wertvollen Meldungen Ihren Namen als Entdecker oder Entdeckerin des Problems unter https://www.init.de/security/thanks veröffentlichen, wenn Sie dem zustimmen.

Sie haben Fragen oder Vorschläge zu dieser Richtlinie oder möchten uns gerne ein Feedback geben? Schreiben Sie uns gerne an abuse@init.de.

Vielen Dank!

Vulnerability Disclosure Policy (Englisch/English)

Despite the strictest requirements for the security of our systems, vulnerabilities cannot always be ruled out. Therefore, we encourage security researchers to inform us about security-related vulnerabilities related to our systems so that we can take the necessary steps to fix them as quickly as possible.

If you conscientiously endeavor to comply with our Whitehat Security investigation Guidelines, we will consider your investigation to be approved. We will be happy to work with you to analyze and quickly fix the vulnerability you report.

]init[ AG will not take any legal action in connection with your Whitehat security investigations in accordance with this policy. Should a third party take legal action against you for such activities, we will point out our approval.

Whitehat security investigations

Within the scope of this policy, the term “Whitehat security investigations” refers to activities in which

• you report the discovery of an actual or potential vulnerability to us as soon as possible;
• You will avoid, to the extent possible, any privacy violation, reduction in usability, disruption or interruption of our services, and destruction, exfiltration or tampering of data.
• You will use exploits only to the extent necessary to confirm the presence of a vulnerability.
• You will not make data that you have downloaded during your activities publicly available or available to third parties.
• You will not inform the public or third parties about vulnerabilities or security holes before they have been resolved and publication has been agreed with us.

The following do not count as white hat security investigations:

• Attacks on physical security;
• Social engineering, bots, spam or mass registrations, as well as the execution of automated tests of web forms and their endpoints;
• Brute force attacks;
• (Distributed) denial of service (DoS, DDoS) tests or other tests that impair or damage access to a system or data;
• The use of high-intensity, invasive or destructive tools;
• Installing malware (virus, worm, trojan, etc.) in our systems and gaining permanent access.

Reporting vulnerabilities

Please report vulnerabilities to us exclusively via abuse@init.de.

Please encrypt your results with our PGP key to ensure that this sensitive information does not fall into the wrong hands.

PGP key: https://www.init.de/security/abuse-at-init-pgp.asc

Please provide us with enough information to reproduce the problem so that we are able to fix it as quickly as possible.

After you report it and we confirm it, please permanently delete all the data you have become aware of in connection with your security investigations.

When you report a security vulnerability to us, we will

• respond to your report as quickly as possible and share our assessment with you;
• keep the report strictly confidential;
• Inform you as soon as possible once the vulnerability has been resolved;
• Process the personal data you provide (e.g. your email address and name) in accordance with the applicable data protection regulations and will not pass it on to third parties without your consent;
• In the case of valuable reports, publish your name as the discoverer of the issue at https://www.init.de/security/thanks if you agree.

Do you have any questions or suggestions about this policy or would you like to give us feedback? Please feel free to write to us at abuse@init.de.

Thank you!