Offenlegung von Schwachstellen
Für TKH Security hat die Sicherheit unserer Systeme, unseres Netzwerks und unserer Produkte oberste Priorität. Dennoch kann es vorkommen, dass eine Schwachstelle entdeckt wird. In diesem Fall sind wir für jeden Hinweis dankbar, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir schätzen eine enge Zusammenarbeit mit Ihnen, um unsere Kunden und Systeme besser zu schützen.
Benachrichtigung
Wir bitten Sie, Ihre Feststellungen so schnell wie möglich nach der Entdeckung an privacy-security@tkhsecurity.com zu melden.
Wir bitten Sie um Folgendes:
- Melden Sie die Schwachstelle so schnell wie möglich, um zu verhindern, dass böswillige Parteien sie finden und ausnutzen;
- Melden Sie das Problem diskret an unsere Organisation, um zu verhindern, dass andere Zugang zu diesen Informationen erhalten;
- Geben Sie genügend Informationen an, um das Problem zu verdeutlichen, damit wir es so schnell wie möglich beheben können. Eine Beschreibung der Schwachstelle ist in der Regel ausreichend, bei komplexeren Schwachstellen kann jedoch mehr erforderlich sein;
- Geben Sie die Schwachstelle oder das Problem nicht an andere weiter, bis es behoben ist;
- Bringen Sie keine eigene Backdoor in das Informationssystem ein, um anschließend die Schwachstelle zu demonstrieren, da dies zusätzlichen Schaden verursachen und unnötige Sicherheitsrisiken eingehen kann;
- Missbrauchen Sie eine Sicherheitslücke nicht weiter als nötig, um die Schwachstelle zu ermitteln;
- Kopieren, ändern oder löschen Sie keine Daten aus dem System. Eine Alternative dazu ist die Erstellung einer Verzeichnisliste eines Systems
- Nehmen Sie keine Änderungen am System vor;
- Greifen Sie nicht wiederholt auf das System zu und geben Sie es nicht an andere weiter;
- Verwenden Sie keine Angriffsmethoden wie „Gross Force“, „Social Engineering“, „Physical Security“, „Social Engineering“, „Distributed Denial of Service“, „Spam“ oder Anwendungen von Drittanbietern, um Zugang zu Systemen zu erhalten.
Was wir garantieren
- Wir antworten auf Ihre Meldung innerhalb von 5 Tagen mit unserer Stellungnahme zu der Meldung und einem voraussichtlichen Termin für eine Lösung;
- Wenn Sie die oben genannten Bedingungen erfüllt haben, werden wir keine rechtlichen Schritte gegen Sie wegen der Meldung einleiten;
- Wir behandeln Ihre Meldung vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Eine Meldung unter einem Pseudonym oder anonym ist möglich;
- Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten;
- In der Berichterstattung über das gemeldete Problem werden wir, wenn Sie es wünschen, Ihren Namen als Entdecker angeben;
- Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und sind gerne bereit, nach der Lösung des Problems an einer Veröffentlichung mitzuwirken.
Unsere so genannte Richtlinie zur Offenlegung von Schwachstellen ist keine Aufforderung, unser Netz oder unsere Systeme aktiv nach Schwachstellen zu durchsuchen. Wir überwachen unser Unternehmensnetz selbst, was bedeutet, dass die Wahrscheinlichkeit groß ist, dass wir Ihren Scan aufgreifen, was zu unnötigen Kosten führen kann. Diese Richtlinie wurde auf der Grundlage des Leitfadens Coordinated Vulnerability Disclosure policy (CVD) des National Cyber Security Center (NCSC) erstellt.