Sicherheitshinweise

Verantwortungsvolle Offenlegung von Sicherheitslücken

Was bedeutet Sicherheitshinweise?

Deutsch/German:
Vorgehen zur verantwortungsvollen Offenlegung von Sicherheitslücken (Responsible Disclosure Policy)

Fast jedes IT-System weist Fehler auf. Diese Fehler werden häufig erst im Laufe der Zeit gefunden. Erlauben diese Fehler die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme, der Anwendungen oder der darin gespeicherten Daten zu beeinträchtigen, liegt eine Sicherheitslücke vor. Die aramido GmbH sieht es als ihre Aufgabe Sicherheitslücken in einer verantwortungsvollen Art und Weise den Herstellern, Betreibern und Nutzern zu melden.

Die von der aramido GmbH gefundenen Sicherheitslücken werden nach dem folgenden Verfahren zur verantwortungsvollen Offenlegung veröffentlicht. Ausnahmen davon sind Schwachstellen, die im Verantwortungsbereich eines Kunden der aramido GmbH liegen oder durch anderweitige vertragliche Vereinbarungen von der Veröffentlichung ausgeschlossen sind.

Nach dem Fund einer Sicherheitslücke wird der für die Anwendung oder das System Verantwortliche darüber auf einem vertraulichen Weg in Kenntnis gesetzt. Dabei werden Informationen zur Schwachstelle und zu ihrer Ausnutzbarkeit mitgeteilt. Nach Behebung der Schwachstelle oder spätestens nach 45 Tagen, unabhängig vom Behebungsstatus, wird diese auf der Webseite der aramido GmbH veröffentlicht. Von diesem Vorgehen wird nur in begründeten Ausnahmen und nach Abwägung der Auswirkungen auf die Allgemeinheit abgewichen.

Wird eine Sicherheitslücke durch aramido gefunden, könnte sie bereits durch andere Parteien gefunden und ausgenutzt worden sein. Daher sollten Sicherheitslücken so schnell wie möglich geschlossen werden. Zum Schutz der Allgemeinheit sollte die Öffentlichkeit über gefundene Sicherheitslücken informiert werden. Auf diese Weise können Schwachstellen behoben, aus Fehlern gelernt und das Verhalten angepasst werden.

Englisch/English:
Responsible Disclosure Policy

Nearly every information system has errors. These errors are being discovered throughout the lifespan of a system. If these errors affect the confidentiality, integrity or availability of a system, they are called security vulnerabilities.

Vulnerabilities found by the aramido GmbH are disclosed in a responsible way to the public according to the following procedure. Vulnerabilities for which customers of aramido are responsible or which are otherwise legally excluded from publication are not disclosed according to this policy.

After a security vulnerability is discovered, the responsible parties for the system or the application are informed in a confidential manner. The security advisory describes the type and exploitability of the vulnerability. The security advisory will be published after the vulnerability is patched or at least after 45 days after the first notice, regardless of the remediation level, on the aramido website. Exceptions to this process are only made in well justified cases and after considering the impact on the public.

Vulnerabilities found by aramido could have already been discovered and exploited by others. Therefore, vulnerabilities should immediately be patched. It is the social responsibility of aramido to protect the public and disclose vulnerabilities. This way vulnerabilities get fixed, everyone can learn from past mistakes and adjust his or her behavior.


Alle Blog-Artikel zum Thema Sicherheitshinweise
Moritz Kaumanns

Am 01.02.2021 in der Kategorie Sicherheitshinweise veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)

Andreas Sperber

Am 14.09.2020 in der Kategorie Sicherheitshinweise veröffentlicht.

Sicherheitswarnung: 1CRM schützt Daten unzureichend (CVE-2020-15958)

Eine Sicher­­heits­­lücke in der Soft­ware 1CRM er­­laubte un­auto­risier­ten Nutzern den Zu­griff auf sen­tive Da­teien und Back­ups des Systems. (weiterlesen)

Tristan Wagner

Am 09.07.2020 in der Kategorie Sicherheitshinweise veröffentlicht.

Zwei Schwachstellen in TeamBeam

In der Datenaustauschplattform TeamBeam konnte aramido zwei Schwachstellen identifizieren. (weiterlesen)

Benjamin Pokrant

Am 06.05.2020 in der Kategorie Sicherheitshinweise veröffentlicht.

HTML-Injection Schwachstelle bei WordPress Plugin WPForms

Eine Sicherheitslücke im WordPress Plugin WPForms erlaubte Angriffe per HTML-Injection. Wie wirkt sich diese Lücke aus und wie schließt man sie? (weiterlesen)

Jonas Lehmann

Am 03.04.2020 in der Kategorie Sicherheitshinweise veröffentlicht.

Wie können IT-Verantwortliche in Zeiten des Coronavirus für ein sicheres Homeoffice sorgen?

Eine Anleitung in sechs Schrit­ten für Infor­mations­sicherheit im Hom­eoffice und Tipps zur finan­ziellen Unter­stützung. (weiterlesen)

Elisabeth Apicella

Am 20.12.2018 in der Kategorie Sicherheitshinweise veröffentlicht.

Sicherheitshinweis: Drei Funde bei prescreen.io und jobbase.io

Wie aramido ent­deck­te, wies die cloud-ba­sier­te Be­wer­ber­ma­na­ge­ment-Soft­ware der Fir­ma Prescreen meh­re­re Si­cher­heits­män­gel auf. (weiterlesen)

Elisabeth Apicella

Am 07.11.2018 in der Kategorie Sicherheitshinweise veröffentlicht.

Reflektierte HTML-Injection bei CRM-Software

Eine Sicher­heits­lücke in der Web­soft­ware CRM+ von Brainformatik er­laubte An­griffe per HTML-In­jec­tion. Wer ist da­von be­troffen und was soll­ten Sie jetzt tun? (weiterlesen)

Armin Harbrecht

Am 03.03.2017 in der Kategorie Sicherheitshinweise veröffentlicht.

Mehrere Schwachstellen im neuen Portal des CyberForums

aramido hat mehrere Sicher­heits­lücken auf der Cyber­Forum-Web­seite gef­un­den. Sie zei­gen die typi­schen Ge­fah­ren von Web­seiten mit nutzer­gene­rierten In­halten. (weiterlesen)

Armin Harbrecht

Am 06.02.2017 in der Kategorie Sicherheitshinweise veröffentlicht.

Sicherheit durch Transparenz – wie wir Sicherheitslücken veröffentlichen

Das verantwortungsvolle Offenlegen von Sicherheitslücken ist ein bewährtes Vorgehen, um IT-Systeme für alle sicherer zu machen. (weiterlesen)