Vulnerability Disclosure Policy

Die BORA Vertriebs GmbH & Co KG ist stets darauf bedacht, dem Kunden Produkte / Dienstleistungen mit der höchsten Qualität und Zuverlässigkeit zu bieten. Um dieses Ziel zu erreichen, prüfen wir jedes gemeldete Sicherheitsproblem, welches von externen Experten, Partnern oder Kunden identifiziert wird.

Die nachfolgende Richtlinie gilt für alle Sicherheitslücken, die Sie uns melden möchten. Wir empfehlen Ihnen, diese Richtlinie vollständig zu lesen und gemäß den Bestimmungen zu handeln. So kann sichergestellt werden, dass Sicherheitslücken richtig als solche identifiziert und behandelt werden. Die BORA Vertriebs GmbH & Co KG schätzt die Zeit und den Aufwand für Meldungen von Sicherheitslücken. Wir möchten jedoch darauf hinweisen, dass die BORA Vertriebs GmbH & Co KG keine monetäre Entschädigung für die Meldung von Sicherheitslücken vorsieht.

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie uns bitte Ihren Bericht über folgenden Link bzw. über E-Mail mit folgenden Angaben:

  • URL oder IP, unter der die Schwachstelle zu finden ist.
  • Eine kurze Beschreibung der Art der Sicherheitslücke (Beispiel: "XSS-Schwachstelle").
  • Schritte zur Reproduktion. Dabei sollte es sich um einen gutartigen, nicht-destruktiven Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und genau bearbeitet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder der böswilligen Ausnutzung einiger Schwachstellen, wie z. B. der Übernahme von Subdomains.

Nach Einreichung Ihrer Meldung beginnen wir mit der Sichtung und Behebung der gemeldeten Schwachstelle/Sicherheitslücke. Wir bemühen uns, innerhalb von 10 Arbeitstagen auf Ihre Meldung zu reagieren, und diese innerhalb von 14 Arbeitstagen zu bearbeiten. Wir werden Sie auch über unsere Fortschritte auf dem Laufenden halten. Die Priorität der Abhilfemaßnahmen wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle beurteilt. Als Zeichen der Anerkennung werden wir Entdecker nach deren Zustimmung auf unserer Dankesseite anführen.

 

Richtlinien

Sie dürfen nicht:

  • gegen geltende Gesetze oder Vorschriften verstoßen.
  • auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen.
  • Daten in den Systemen oder Diensten der Organisation verändern.
  • Invasive oder zerstörerische Scan-Tools mit hoher Intensität verwenden, um Schwachstellen zu finden.
  • Versuche oder Meldungen jeglicher Form zur Dienstverweigerung unternehmen, z. B. Überlastung eines Dienstes mit einer großen Anzahl von Anfragen.
  • Dienste oder Systeme der Organisation stören.
  • Berichte einreichen, in denen nicht ausnutzbare Schwachstellen aufgeführt sind, oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheits-Header.
  • Berichte über Schwachstellen in der TLS-Konfiguration übermitteln, z. B. Unterstützung einer "schwachen" Cipher-Suite oder das Vorhandensein von TLS1.0-Unterstützung.
  • Schwachstellen oder damit zusammenhängenden Details auf andere Weise verteilen, als in der veröffentlichten security.txt beschrieben.
  • Social Engineering, "Phishing" oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation durchführen.
  • eine finanzielle Entschädigung für die Offenlegung von Schwachstellen verlangen.

Sie müssen:

  • stets die Datenschutzbestimmungen einhalten und dürfen die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme der Organisation nicht verletzen. Sie dürfen z. B. keine von den Systemen oder Diensten abgerufenen Daten weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
  • alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzgesetz vorschreibt).

 

Rechtliches

Diese Richtlinie ist so konzipiert, dass für Entdecker, welche den Anweisungen folgen von einer Strafverfolgung abgesehen wird.

 

Schwachstellenmeldung

Sollten Sie Schwachstellen in IT-Systemen und Web-Anwendungen der BORA Vertriebs GmbH & Co KG oder von BORA Vertriebs GmbH & Co KG vertriebenen Produkten entdecken, bitten wir Sie uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beseitigen.

Hierfür gehen Sie bitte wie folgt vor:

  • Informieren Sie sich vor Ihrer Meldung über die Fälle, die nicht in den Geltungsbereich unserer Vulnerability-Disclosure-Policy fallen und in diesem Rahmen nicht bearbeitet werden.
  • Senden Sie Ihre Ergebnisse zu dem Sicherheitsproblem per E-Mail an security@bora.com.
  • Nutzen Sie die Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen.
  • Geben Sie Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde durch BORA Vertriebs GmbH & Co KG explizit freigegeben.
  • Führen Sie keine Angriffe auf unsere IT-Systeme durch, welche Infrastruktur und Personen kompromittieren, verändern oder manipulieren.
  • Führen Sie kein Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf die BORA Vertriebs GmbH & Co KG durch.
  • Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie bitte auch eine Kontaktmöglichkeit für mögliche Rückfragen bereit.

Hall of Fame