Sicherheitshinweise
Verantwortungsvolle Offenlegung von Sicherheitslücken
Was bedeutet Sicherheitshinweise?
Vorgehen zur verantwortungsvollen Offenlegung von Sicherheitslücken (Responsible Disclosure Policy)
Fast jedes IT-System weist Fehler auf. Diese Fehler werden häufig erst im Laufe der Zeit gefunden. Erlauben diese Fehler die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme, der Anwendungen oder der darin gespeicherten Daten zu beeinträchtigen, liegt eine Sicherheitslücke vor. Die aramido GmbH sieht es als ihre Aufgabe Sicherheitslücken in einer verantwortungsvollen Art und Weise den Herstellern, Betreibern und Nutzern zu melden.
Die von der aramido GmbH gefundenen Sicherheitslücken werden nach dem folgenden Verfahren zur verantwortungsvollen Offenlegung veröffentlicht. Ausnahmen davon sind Schwachstellen, die im Verantwortungsbereich eines Kunden der aramido GmbH liegen oder durch anderweitige vertragliche Vereinbarungen von der Veröffentlichung ausgeschlossen sind.
Nach dem Fund einer Sicherheitslücke wird der für die Anwendung oder das System Verantwortliche darüber auf einem vertraulichen Weg in Kenntnis gesetzt. Dabei werden Informationen zur Schwachstelle und zu ihrer Ausnutzbarkeit mitgeteilt. Nach Behebung der Schwachstelle oder spätestens nach 45 Tagen, unabhängig vom Behebungsstatus, wird diese auf der Webseite der aramido GmbH veröffentlicht. Von diesem Vorgehen wird nur in begründeten Ausnahmen und nach Abwägung der Auswirkungen auf die Allgemeinheit abgewichen.
Wird eine Sicherheitslücke durch aramido gefunden, könnte sie bereits durch andere Parteien gefunden und ausgenutzt worden sein. Daher sollten Sicherheitslücken so schnell wie möglich geschlossen werden. Zum Schutz der Allgemeinheit sollte die Öffentlichkeit über gefundene Sicherheitslücken informiert werden. Auf diese Weise können Schwachstellen behoben, aus Fehlern gelernt und das Verhalten angepasst werden.
Responsible Disclosure Policy
Nearly every information system has errors. These errors are being discovered throughout the lifespan of a system. If these errors affect the confidentiality, integrity or availability of a system, they are called security vulnerabilities.
Vulnerabilities found by the aramido GmbH are disclosed in a responsible way to the public according to the following procedure. Vulnerabilities for which customers of aramido are responsible or which are otherwise legally excluded from publication are not disclosed according to this policy.
After a security vulnerability is discovered, the responsible parties for the system or the application are informed in a confidential manner. The security advisory describes the type and exploitability of the vulnerability. The security advisory will be published after the vulnerability is patched or at least after 45 days after the first notice, regardless of the remediation level, on the aramido website. Exceptions to this process are only made in well justified cases and after considering the impact on the public.
Vulnerabilities found by aramido could have already been discovered and exploited by others. Therefore, vulnerabilities should immediately be patched. It is the social responsibility of aramido to protect the public and disclose vulnerabilities. This way vulnerabilities get fixed, everyone can learn from past mistakes and adjust his or her behavior.