Verantwortungsbewusste Offenlegungspolitik

Bei Kiwa legen wir großen Wert auf die Sicherheit unserer IT-Systeme und unserer Webseiten. Deshalb streben wir ein Höchstmaß an Sicherheit an. Trotz der großen Sorgfalt, die wir in Bezug auf die IT-Sicherheit walten lassen, können Schwachstellen bestehen bleiben. Wir bitten Sie, eine Schwachstelle nicht zu missbrauchen, sondern uns das Problem zu melden, damit wir die notwendigen Maßnahmen ergreifen können.

Haben Sie eine Schwachstelle auf unseren Websites oder in einem unserer anderen (Online-)Systeme gefunden? Dann melden Sie uns bitte Ihre Ergebnisse so schnell wie möglich. Tun Sie das, bevor Sie das "Leck" nach außen bekannt geben, damit wir es so schnell wie möglich lösen können.

Wir möchten zusammenarbeiten, um unsere Systeme besser zu schützen und eine Schwachstelle so schnell wie möglich zu beheben. Unsere Richtlinie zur verantwortungsvollen Offenlegung ist jedoch keine Einladung, unser Unternehmensnetzwerk aktiv zu durchsuchen, um Schwachstellen aufzudecken.

Eine Schwachstelle melden

Bitte informieren Sie uns, wenn Sie eine Schwachstelle gefunden haben. Beachten Sie Folgendes:

  • Senden Sie Ihre Ergebnisse so schnell wie möglich an responsibledisclosure@kiwa.nl
  • Geben Sie ausreichende Informationen, damit die Schwachstelle reproduziert werden kann, damit wir sie so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, obwohl bei komplexeren Schwachstellen mehr Informationen erforderlich sein können.
  • Geben Sie Ihre Kontaktdaten (E-Mail-Adresse oder Telefonnummer) an, damit wir Sie kontaktieren können.
  • Geben Sie die Informationen über die Schwachstelle nicht an andere weiter, bis sie behoben sind.
  • Seien Sie verantwortlich mit Ihrem Wissen über die Schwachstelle. Führen Sie keine Aktionen durch, die über das zur Demonstration erforderliche Maß hinausgehen.

Erfüllt Ihr Bericht diese Bedingungen? Dann gibt es keine rechtlichen Konsequenzen.

Missbrauch einer Schwachstelle vermeiden

Wenn Sie eine Schwachstelle entdecken, nutzen Sie diese nicht aus, z. B. durch

  • Installation von Malware;
  • Daten in einem System kopieren, ändern oder löschen oder ein Verzeichnisverzeichnis erstellen;
  • Änderungen am System vornehmen;
  • wiederholt Zugang zum System zu erhalten oder den Zugang mit anderen zu teilen;
  • seitlich oder weiter in unsere Systeme eindringen;
  • den Einsatz von Brute-Force, um auf die Systeme zuzugreifen;
  • Nutzung von Denial-of-Service oder Social Engineering.

Wie wir mit Ihrem Bericht umgehen

Haben Sie eine Schwachstelle in einem unserer IT-Systeme oder einer unserer Webseiten gemeldet? Dann werden wir Ihren Bericht wie folgt behandeln:

  • Sie erhalten innerhalb eines Werktages eine Bestätigung Ihres Berichts.
  • Wir werden innerhalb von fünf Werktagen auf Ihren Bericht antworten. Unsere Antwort enthält eine Bewertung des Berichts und ein voraussichtliches Datum für eine Lösung.
  • Wir werden Sie über den Fortschritt der Problemlösung auf dem Laufenden halten.
  • Wir werden Ihre Meldung vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben, es sei denn, wir sind gesetzlich oder durch einen Gerichtsbeschluss dazu verpflichtet.

Lösung für eine Schwachstelle

Wir werden ein gemeldetes Sicherheitsproblem so schnell wie möglich, aber immer innerhalb von 60 Tagen lösen. Gemeinsam mit Ihnen (dem Reporter des Problems) werden wir festlegen, ob und wie wir über das Problem berichten. Wenn wir über ein Problem kommunizieren, werden wir das erst tun, nachdem wir es gelöst haben.

Abschließend

Kiwa kann die Richtlinie in Bezug auf die verantwortungsvolle Offenlegung überarbeiten, wenn ein Grund dazu besteht. Die aktuelle Richtlinie finden Sie immer auf dieser Seite.

Rijswijk, Holland, Dezember 2018.