[ENTWURF] Offenlegungsrichtlinie

Einleitung

Da Sicherheit und Verlässlichkeit bei Software für Zeitwirtschaft und Zutrittsmanagement wichtig sind, legt digital ZEIT großen Wert auf einen transparenten und verantwortungsvollen Umgang mit gemeldeten Sicherheitslücken in unseren Produkten und Services.

Mit dieser Coordinated Vulnerability Disclosure (CVD)-Richtlinie schaffen wir einen klaren Rahmen dafür, wie Schwachstellen gemeldet, geprüft, koordiniert behoben und – sofern angemessen – veröffentlicht werden. Unser Ziel ist es, Hinweise strukturiert entgegenzunehmen, Auswirkungen nachvollziehbar zu bewerten und gemeinsam mit meldenden Personen sowie unseren Entwicklungs- und Betriebsteams passende Abhilfemaßnahmen umzusetzen.

Das digital ZEIT Security Incident Response Team ist die zentrale Anlaufstelle für Schwachstellenmeldungen. Wir untersuchen eingehende Reports, halten während des gesamten Prozesses eine verlässliche Kommunikation aufrecht und informieren sobald möglich über geeignete Maßnahmen wie Updates, Patches oder Workarounds – damit unsere Lösungen sicher und zuverlässig betrieben werden können.

Meldungen können in deutscher oder englischer Sprache eingereicht und bearbeitet werden. Für Produkt- und Service-Schwachstellen ist unser Product Security Incident Response Team (PSIRT) zuständig, für Schwachstellen in unserer IT-Infrastruktur unser Computer Security Incident Response Team (CSIRT).

Geltungsbereich

Diese Richtlinie gilt für Schwachstellen, die in Produkten, Services oder IT-Systemen der digital ZEIT auftreten und die Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität beeinträchtigen können. Sie beschreibt den Ablauf von der Meldung bis zur koordinierten Prüfung und Behebung.

Sie umfasst insbesondere:

  • Produkte und Services der digital ZEIT (z. B. Software, Hardware, Schnittstellen/APIs)
  • IT-Infrastruktur der digital ZEIT (z. B. Webdienste, Konfigurationen, zentrale Betriebs- und Plattformdienste)
  • Systeme, die im Auftrag von digital ZEIT betrieben werden (z. B. Hosting-/Cloud-Dienstleister), soweit digital ZEIT für Betrieb oder Patch-/Konfigurationsmanagement verantwortlich ist

Außerhalb des Geltungsbereichs sind Meldungen zu Systemen, die nicht im Verantwortungsbereich der digital ZEIT liegen (z. B. unabhängige Drittanbieter oder kundeneigene Umgebungen ohne Bezug zu unseren Produkten/Services).

Wir versprechen

Wir versprechen, dass

  • jeder Schwachstellenbericht im gesetzlichen Rahmen vertraulich behandelt wird.
  • personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weitergegeben werden.
  • zu jeder Schwachstellenmeldung eine Rückmeldung erfolgt.
  • keine strafrechtlichen Schritte gegen Sie eingeleitet werden, solange diese Richtlinie und die Grundsätze eingehalten werden. Dies gilt nicht, wenn erkennbar kriminelle Absichten verfolgt wurden oder werden.
  • keine Geheimhaltungsvereinbarung (NDA) unterzeichnet werden muss.
  • während des gesamten Prozesses ein fester Ansprechpartner für einen vertrauensvollen Austausch zur Verfügung steht.

Wir erwarten von Ihnen

Wir erwarten, dass

  • die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wird (keine Schäden über den Nachweis hinaus).
  • keine Angriffe (z. B. Social-Engineering-, Spam-, (Distributed-)DoS- oder „Brute-Force“-Angriffe gegen IT-Systeme oder Infrastrukturen durchgeführt werden.
  • keine Manipulation, Kompromittierung oder Veränderung von Systemen oder Daten Dritter erfolgt.
  • keine Exploit-Tools (entgeltlich oder unentgeltlich) angeboten werden, die Dritte zur Begehung von Straftaten nutzen können.
  • es sich nicht ausschließlich um Ergebnisse aus automatisierten Scans/Tools ohne erläuternde Dokumentation handelt.
  • die Information nach Möglichkeit noch nicht öffentlich bekannt ist.

Auch wenn eine Meldung nicht alle genannten Erwartungen vollständig erfüllt, bemühen wir uns um eine bestmögliche Prüfung und Rückmeldung im Rahmen der verfügbaren Informationen.

Anonyme Meldungen sind möglich, können aber nur eingeschränkt bearbeitet werden, weil Rückfragen nicht möglich sind.

Vulnerability Guideline

Mindestkriterien: Wann eine Meldung als „valide“ gilt

Damit wir eine Meldung als valide Schwachstellenmeldung im Sinne unseres CVD-Prozesses einstufen können, sollten mindestens folgende Punkte erfüllt sein:

  • Die Schwachstelle betrifft ein Produkt, einen Service oder ein System der digital ZEIT bzw. unsere IT-Infrastruktur (inkl. betroffener Komponente/Modul/Endpoint und – soweit möglich – Version/Build bzw. Umgebung).
  • Die Meldung bezieht sich nach Möglichkeit auf noch nicht öffentlich bekannte Informationen.
  • Die Meldung ist nicht ausschließlich das Ergebnis eines automatisierten Scans/Tools ohne unterstützende und nachvollziehbare Dokumentation.

Für die technische Verifikation und Behebung benötigen wir in der Regel zusätzliche Informationen. Falls etwas fehlt, fragen wir nach.

Empfohlene Angaben für eine zügige Bearbeitung

Für eine schnelle Analyse helfen insbesondere:

  • Reproduktionsanleitung (Schritt für Schritt) inkl. Voraussetzungen sowie erwartetem und tatsächlichem Ergebnis
  • Technische Details (z. B. Parameter, Payloads, Header, Konfiguration, Request-/Response-Beispiele, Logs)
  • Impact / Angriffsszenario (was ist konkret möglich?)
  • Schweregrad-Einschätzung (z. B. CVSS – vorzugsweise aktuelle Version)
  • PoC oder Hinweise zur Ausnutzbarkeit (so minimal-invasiv wie möglich)
  • Vorschlag für Patch/Mitigation/Workaround

Meldungen, die i. d. R. nicht ausreichend sind

In der Regel sind folgende Meldungen für die Verifikation nicht ausreichend, sofern keine zusätzliche Dokumentation/Belege vorliegen:

  • Reine Ergebnisse aus automatisierten Scans/Tools ohne nachvollziehbare Beschreibung, Reproduktion oder Impact-Nachweis
  • „Best-Practice“-Hinweise ohne konkreten Sicherheitsimpact
  • Duplikate bereits gemeldeter Schwachstellen ohne neue Erkenntnisse
  • Meldungen, die ausschließlich Drittsysteme außerhalb des Verantwortungsbereichs der digital ZEIT betreffen

Bereits öffentlich bekannte oder bereits behobene Schwachstellen

Hinweise auf bereits öffentlich bekannte oder bereits behobene Schwachstellen nehmen wir dennoch entgegen. Bitte kennzeichnen Sie in diesem Fall möglichst klar:

  • Wo die Information bereits veröffentlicht wurde (Quelle/Referenz)
  • Welche digital ZEIT-Versionen/Umgebungen betroffen waren bzw. noch betroffen sind
  • Welche neuen Erkenntnisse (z. B. zusätzliche betroffene Komponenten, neuer Exploitpfad, aktive Ausnutzung) vorliegen

Umgang mit Daten in Meldungen

Bitte übermitteln Sie keine unnötigen personenbezogenen Daten Dritter. Wenn Sie unbeabsichtigt auf personenbezogene oder vertrauliche Daten stoßen, minimieren Sie die Verarbeitung/Übermittlung und beschränken Sie sich auf den Nachweis, der zur Reproduktion und Behebung erforderlich ist.

Meldewege

Schwachstellenmeldung via Online-Formular

Unser Meldeformular: Schwachstelle melden

Wichtig: Die Meldung kann auf Wunsch auch anonym erfolgen. Bitte machen Sie in diesem Fall möglichst umfassende und präzise Angaben, die eine Verifikation und Bewertung des Sachverhalts ermöglichen. Da Rückfragen durch die digital ZEIT nicht möglich sind, kann die Meldung sonst ggf. nicht bearbeitet werden.

Schwachstellenmeldungen via E-Mail

Senden Sie Schwachstellenmeldungen per E-Mail an:

  • PSIRT (Produkte & Services): psirt@digital-zeit.de
  • CSIRT (IT-Infrastruktur): csirt@digital-zeit.de

Wichtig: Bitte orientieren Sie sich inhaltlich an den Anforderungen aus dem Abschnitt „Vulnerability Guideline“.

Verschlüsselte Kommunikation (OpenPGP):

Für vertrauliche Informationen empfehlen wir eine verschlüsselte Kommunikation.

Telefonisch

Die Rufannahme erfolgt über die Zentrale, die Sie an den zuständigen Ansprechpartner weiterleitet. Für die Übermittlung vertraulicher Informationen empfehlen wir die Nutzung verschlüsselter E-Mails.

Tel.: +49 (0) 731 / 205557-0

Reaktionszeit & Kommunikation

Voraussetzung für Rückmeldungen und Statusupdates ist eine gültige Kontaktmöglichkeit (z. B. E-Mail-Adresse).

Wir garantieren – außer bei anonymen Meldungen – folgende Reaktionszeiten:

  • Einfache Rückmeldung: innerhalb von 5 Arbeitstagen (nicht automatisiert)
  • Detailliertes Feedback: innerhalb von 10 Arbeitstagen nach weiterer Analyse

Dieses Feedback enthält mindestens (a) eine Bestätigung oder Ablehnung, (b) Rückfragen oder (c) eine Erklärung der Verzögerung mit der Zusage eines Updates innerhalb weiterer 10 Arbeitstage.

Wir legen Wert auf respektvolle und sachliche Kommunikation. Unangemessenes Verhalten (z. B. Beleidigungen oder Diskriminierung) hat keinen Platz. Status-Nachfragen sind willkommen.

Koordination bei aktiv ausgenutzten Schwachstellen

Wenn wir Kenntnis von aktiv ausgenutzten Schwachstellen erhalten, koordinieren wir Maßnahmen und informieren ggf. unser zuständiges nationales CSIRT ohne unangemessene Verzögerung. Dabei stimmen wir die weitere Vorgehensweise mit dem zuständigen nationalen CSIRT ab und informieren dieses fortlaufend über relevante neue Erkenntnisse sowie umgesetzte und geplante Maßnahmen.

Koordinierte Veröffentlichung

Validierte und verifizierte Schwachstellen werden grundsätzlich innerhalb von 90 Tagen öffentlich offengelegt; eine begründete Verlängerung um weitere 90 Tage ist möglich (in enger Abstimmung mit dem zuständigen nationalen CSIRT). Auf Anfrage kann die Veröffentlichung in Abstimmung mit dem zuständigen nationalen CSIRT und/oder ENISA mindestens über die European Vulnerability Database (EUVD) erfolgen.

Wann der CVD-Prozess als abgeschlossen gilt

Wir betrachten den CVD-Prozess typischerweise als abgeschlossen, wenn

  • sich die Meldung als unbegründet erweist,
  • die Schwachstelle in einem Service behoben und öffentlich offengelegt wurde,
  • die Schwachstelle durch Patch/Mitigation adressiert und öffentlich offengelegt wurde.

Optional können wir einen Vorgang schließen, wenn die meldende Person auf Rückfragen mindestens 30 Tage nicht reagiert und eine Bearbeitung dadurch nur eingeschränkt möglich ist (gilt naturgemäß nicht bei anonymen Meldungen).

Das Schließen eines Vorgangs erfolgt intern nach dem Vier-Augen-Prinzip (mindestens zwei Personen) und wird – sofern möglich – der meldenden Person mit kurzer Begründung kommuniziert.

Datenschutz

Datenschutzerklärung: https://www.digital-zeit.de/datenschutz/

Wenn Sie im Rahmen Ihrer Untersuchung unbeabsichtigt auf personenbezogene oder vertrauliche Daten stoßen, minimieren Sie die Verarbeitung/Übermittlung und beschränken Sie sich auf den Nachweis, der zur Reproduktion und Behebung erforderlich ist.

Diese Richtlinie wird mindestens jährlich überprüft und bei Bedarf aktualisiert.