Schwachstellen

Im nachfolgenden möchten wir Sie umfassend über den Umgang des Kollektivs mit Schwachstellen und Sicherheitslücken in den eigenen Systemen aufklären. Es handelt sich um die Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (kurz NIS-2-Richtlinie). Das Kollektiv bezieht sich mit den hier veröffentlichten Informationen auf Artikel 12 der Richtlinie, der koordinierten Offenlegung von Schwachstellen (CVD).

Einleitung

Für das Kollektiv hat die Sicherheit der Kommunikations- und Informationssysteme höchste Priorität.

Allerdings können Schwachstellen trotz aller Bemühungen nie vollständig beseitigt werden. Wenn Schwachstellen erkannt und ausgenutzt werden, gefährdet dies die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme und der darin verarbeiteten Informationen.

In dieser Richtlinie zur Offenlegung von Sicherheitslücken wird beschrieben, welche Systeme und Arten von Tests zulässig sind und wie Meldungen von Sicherheitslücken zu übermitteln sind. Wir ermutigen Sie, sich mit dem Kollektiv in Verbindung zu setzen, um potenzielle Sicherheitsprobleme in den Systemen zu melden, indem Sie diese Politik befolgen.

Autorisierung

Wenn Sie in gutem Glauben Schwachstellen in den Systemen aufdecken und melden, wird das Kollektiv mit Ihnen zusammenarbeiten, um die Probleme schnell zu verstehen und zu lösen, und dabei diese Richtlinie einhalten.

Wir werden keine rechtlichen Schritte im Zusammenhang mit Ihren Aktivitäten zur Identifizierung von Schwachstellen in den Systemen einleiten, solange Sie die Richtlinien in dieser Richtlinie befolgen.

Geltungsbereich

Diese Richtlinie gilt für alle internetfähigen Systeme des Kollektivs algorithmusgymnastik, einschließlich:

• dem gesamten Internetauftritt des Kollektivs
  .algorithmusgymnastik.de/
  
  
• öffentliche IPs, die unter ASN 42848 ausgeschrieben sind, und die damit verbundenen Dienste
  
  
• jede andere durch das Kollektiv veröffentlichte Software

alle oben nicht ausdrücklich aufgeführten Dienste sind vom Anwendungsbereich ausgeschlossen und werden nicht zur Prüfung zugelassen.

Darüber hinaus sind Schwachstellen, die in Systemen von Anbietern gefunden werden, ebenfalls vom Anwendungsbereich ausgeschlossen und sollten direkt an den Anbieter gemäß seiner eigenen Offenlegungspolitik (falls zutreffend) gemeldet werden.

Vorgaben

Bei der Durchführung Ihrer Aktivitäten ist es zwingend erforderlich, dass Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht ausnutzen, indem Sie z. B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder verändern.

Regeln

Bitte beachten Sie deshalb folgende Regeln:

• Verwenden Sie nur harmlose Exploits, um zu bestätigen, dass eine Schwachstelle vorhanden ist
  
  
• Geben Sie keine Daten, die Sie während der Entdeckung heruntergeladen haben, an die Öffentlichkeit oder an andere Parteien weiter
  
  
• Geben Sie die Schwachstelle oder das Problem erst dann der Öffentlichkeit oder anderen Parteien bekannt, wenn es behoben ist
  
  
• Brechen Sie Ihre Tests ab, wenn Sie sensible Informationen entdecken (personenbezogene Daten, medizinische, finanzielle, geschützte Informationen oder Geschäftsgeheimnisse), und benachrichtigen Sie das Kollektiv sofort, und geben Sie die erhaltenen Daten nicht an Dritte weiter.
  

Unterlassen Sie die folgenden Aktionen:

• Platzieren von Malware (Viren, Würmer, Trojanische Pferde usw.) auf einem System
  
  
• Systeme zu kompromittieren, indem Sie Exploits verwenden, um die vollständige oder teilweise Kontrolle zu erlangen
  
  
• Kopieren, Ändern oder Löschen von Daten auf dem System
  
  
• Änderungen an dem System vornehmen
  
  
• sich wiederholt Zugang zum System zu verschaffen oder den Zugang mit anderen Parteien zu teilen
  
  
• Nutzung des erlangten Zugangs für den Versuch, auf andere Systeme zuzugreifen
  
  
• Änderung der Zugriffsrechte anderer Benutzer
  
  
• automatisierte Scanning-Tools zu verwenden
  
  
• einen so genannten „Brute-Force“-Angriff zu verwenden, um sich Zugang zu beliebigen Systemen zu verschaffen
  
  
• Denial-of-Service-Angriffe oder Social Engineering (Phishing, Vishing, Spam usw.)
  
  
• Angriffe auf die physische Sicherheit

Wenn Sie eine Sicherheitslücke gefunden haben,

• senden Sie Ihre Erkenntnisse so bald wie möglich per E-Mail an [obfuscate=“[email protected]“] und geben Sie dabei an, ob Sie damit einverstanden sind, dass Ihr Name oder Pseudonym als Entdecker des Problems veröffentlicht wird
  
  
• verschlüsseln Sie Ihre Erkenntnisse mit dem hier verfügbaren PGP-Schlüssel, um zu verhindern, dass diese wichtigen Informationen in die falschen Hände geraten
  
  
• stellen Sie uns ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. Normalerweise reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen erfordern möglicherweise weitere Erklärungen in Form von technischen Informationen oder potenziellem Proof-of-Concept-Code
  
  
• Legen Sie Ihren Bericht vorzugsweise auf Deutsch oder Englisch vor.
  

Was Sie von uns erwarten können

Im Gegenzug versprechen wir Ihnen, wenn Sie uns eine Schwachstelle melden, dass wir

• auf Ihre Meldung innerhalb von drei (3) Werktagen mit unserer Bewertung der Meldung reagieren
  
  
• Ihre Meldung streng vertraulich behandeln
  
  
• Sie, soweit möglich, zu informieren, wenn die Schwachstelle behoben wurde die von Ihnen zur Verfügung gestellten personenbezogenen Daten (z. B. Ihre E-Mail-Adresse und Ihren Namen) in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiterzugeben
  
  
• Ihren Namen als Entdecker des Problems zu veröffentlichen, wenn Sie dem in Ihrer ersten E-Mail zugestimmt haben, wenn und falls wir das Problem öffentlich machen