Richtlinie zur verantwortungsvollen Offenlegung
Kurzfassung
Verisure hat sich verpflichtet, die Sicherheit sämtlicher Daten im Zusammenhang mit unseren Produkten, Systemen und allen Kunden, Partnern und Mitarbeitern zu gewährleisten. Wir wissen um den Wert der Zusammenarbeit mit unserer Community von Benutzern und Experten, die zur Identifizierung von Sicherheitsschwachstellen in unseren Produkten und Systemen beitragen können. Diese Richtlinie beschreibt einen Prozess zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen, deren Ziel die effektive Zusammenarbeit zur Entdeckung und schnellen Behebung von Sicherheitsproblemen ist.
Einführung
Diese Richtlinie legt Handlungsvorgaben für die verantwortungsvolle Meldung und den Umgang mit Sicherheitsschwachstellen gemäß den nachstehenden Verhaltensregeln fest und gilt für alle Sicherheitsschwachstellen, deren Meldung an Verisure Sie in Betracht ziehen.
Wir empfehlen, dass Sie sich diese Richtlinie in Gänze durchlesen, bevor Sie eine potenzielle Sicherheitsschwachstelle melden.
Bitte beachten Sie, dass Verisure keinerlei finanzielle Belohnung für die Offenlegung von Sicherheitsschwachstellen anbietet.
Alle (im englischen Original) fettgedruckten Wörter sind im Abschnitt „Definitionen” dieses Dokuments zu finden.
Schlüsselprinzipien
Handeln in gutem Glauben
Verisure wird keine rechtlichen Schritte gegen Personen einleiten, die Sicherheitsschwachstellen in gutem Glauben in Übereinstimmung mit dieser Richtlinie entdecken und melden.
Vorsätzliches Zuwiderhandeln
Verisure bietet keine Immunität in Fällen der vorsätzlichen Offenlegung oder der fahrlässigen Offenlegung von Sicherheitsschwachstellen, die nicht gemäß den festgelegten Verfahren erfolgen, wie z. B. die öffentliche Bekanntmachung einer identifizierten Sicherheitsschwachstelle.
Unterbrechung der Leistungserbringung
Die Richtlinie erlaubt keine Handlungen, die sich auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und Systemen auswirken könnten, wie z. B. Eingriffe in die Leistungen von Verisure bzw. in die Funktionsweise von Verisure-Produkten.
Verhaltensregeln
Meldende Personen müssen den Abschnitt mit den in dieser Richtlinie definierten „Verhaltensregeln” lesen und diese befolgen.
Wer muss diese Richtlinie befolgen?
Diese Richtlinie muss von den verschiedenen Stakeholdern in unserer Community befolgt werden, wenn jene die Meldung einer in unseren Systemen bestehenden Sicherheitsschwachstelle erwägen. Zu diesem Personenkreis gehören IT-Sicherheitsexperten und sogenannte Ethical Hackers, Benutzer und Kunden, die bei der normalen Nutzung von Leistungen oder Produkten Probleme bemerken, interne Verisure-Teams, die sich um diese Sicherheitsschwachstelle kümmern sollen, und die von diesen Sicherheitsschwachstellen betroffenen Endnutzer.
Wie halte ich mich an die Richtlinie?
So werden Schwachstellen gemeldet
Verisure untersucht alle Meldungen über Sicherheitsschwachstelle, die Produkte und Leistungen betreffen. Wenn Sie glauben, dass Sie eine Sicherheitsschwachstelle in einem Verisure-Produkt oder einer Verisure-Dienstleistung gefunden haben, können Sie die Schwachstellenmeldung über das Einreichungsformular unten einreichen. Bitte geben Sie dabei möglichst ausführliche Details an, damit wir Ihre Handlungen reproduzieren und untersuchen können. Alle Pflichtfelder müssen korrekt ausgefüllt werden, und die Vertraulichkeit muss gewahrt bleiben, wenn Sie eine Sicherheitsschwachstelle gemäß dieser Richtlinie melden. Wir bitten Sie, Ihre Erkenntnisse erst dann öffentlich bekanntzugeben, wenn Verisure seine Untersuchung abgeschlossen, die Sicherheitsschwachstelle behoben bzw. deren Schädlichkeit eingeschränkt und Ihnen die entsprechende Erlaubnis erteilt hat.
Weiteres Vorgehen
Nach dem Absenden der Meldung bestätigt Verisure der meldenden Person, dass die Meldung ordnungsgemäß empfangen wurde, und beginnt mit der Triage zum Vorgang. Verisure wird gegebenenfalls die meldende Person über das anonyme Webportal kontaktieren, um weitere Informationen zur Meldung einzuholen und diese bis zum Abschluss des Vorgangs über den Fortschritt auf dem Laufenden zu halten.
Unser interner Prozess zur Behebung der Sicherheitsschwachstelle beginnt mit der Prüfung der Meldung und Ermittlungen in Hinblick auf deren Auswirkungen, Schwere und Komplexität, bevor gegebenenfalls Abhilfemaßnahmen umgesetzt werden.
Verisure behält sich das Recht vor, den Inhalt der eingereichten Sicherheitsschwachstellenmeldung und alle nachfolgenden Erkenntnisse an die relevanten Parteien weiterzugeben, wird dabei jedoch keine die meldende Person betreffenden Details offenbaren.
Produkte oder Leistungen Dritter
Produkte, Systeme und Daten, die sich nicht im Besitz von Verisure befinden, fallen nicht unter diese Richtlinie. Meldende Personen müssen die durch die jeweiligen Dritten festgelegten Richtlinien zur verantwortungsvollen Offenlegung befolgen, wenn sie diese Systeme untersuchen oder testen möchten.
Verhaltensregeln
Verisure weiß um den Wert der Bemühungen und Beiträge der Community zur Sicherheitsforschung und hat dafür die folgenden Regeln festgelegt, die eingehalten werden müssen. Verisure wird keine rechtlichen Schritte gegen Personen einleiten, die Sicherheitsschwachstellen in gutem Glauben und in Übereinstimmung mit dieser Richtlinie entdecken und melden.
Meldende Personen dürfen nicht:
- Gegen geltende Gesetze oder Vorschriften verstoßen.
- Neue Sicherheitsschwachstellen erzeugen oder versuchen, bestehende Sicherheitsschwachstellen auszunutzen.
- Sich an Social-Engineering- oder Phishing-Handlungen, die auf Kunden oder Mitarbeiter abzielen, beteiligen.
- Eine finanzielle Entschädigung im Gegenzug für das Aufzeigen einer Sicherheitsschwachstelle verlangen.
- Auf Systeme oder Daten zugreifen, die über das hinausgehen, was zur Identifizierung und Meldung einer Sicherheitsschwachstelle erforderlich ist.
- Alarmsystemgeräte oder Systeme manipulieren, die zu bestehenden Kunden gehören, auch wenn es sich um ihre eigenen handelt.
- Daten, die in Produkten bzw. Systemen von Verisure verarbeitet oder gespeichert werden, ändern, kopieren, weitergeben, beschädigen oder anderweitig nutzen.
- High-intensity-, invasive oder destruktive Scan-Tools, zur Auffindung von Sicherheitsschwachstellen einsetzen oder Störhandlungen ausführen, zu denen u. a. Brute-Force-Angriffe, Denial-of-Service-Angriffe oder physische Angriffe auf Verisure-Einrichtungen oder Rechenzentren gehören.
- Alarmsignale bzw. Benachrichtigungen ausschalten oder Ihr eigenes Alarmsystem in irgendeiner Weise manipulieren.
- Tests oder Recherchen mit Diensten oder Systemen Dritter durchführen, die nicht zu Verisure gehören, etwa z. B. mit der Infrastruktur externer Cloud-Anbieter.
- Auf unnötige, übermäßig große oder erhebliche Datenmengen zugreifen, die nicht für die Entdeckung und Bestätigung der Sicherheitsschwachstelle erforderlich sind.
Die meldende Person:
- Darf nur soweit auf Daten und Systeme zugreifen, wie dies erforderlich ist, um das Vorhandensein einer Sicherheitsschwachstelle zu bestätigen.
- Muss die Recherche- und/oder Testaktivitäten abbrechen, nachdem bestätigt wurde, dass eine Sicherheitsschwachstelle vorliegt, und muss die Ergebnisse unverzüglich an Verisure melden.
- Muss alle während der Recherche abgerufenen Daten sicher löschen, sobald die Sicherheitsschwachstelle gemeldet wurde und die Empfangsbestätigung von Verisure eingegangen ist.
- Muss auf die schriftliche Genehmigung von Verisure warten, bevor sie Einzelheiten zur Sicherheitsschwachstelle öffentlich bekanntgibt. Der Inhalt der Bekanntmachung muss ebenfalls durch Verisure genehmigt werden.
Was nicht gemeldet werden sollte:
- Doppelte Meldungen zu Sicherheitsschwachstellen.
- Meldungen, die nicht ausnutzbare Sicherheitsschwachstellen betreffen.
- Meldungen von Fehlern in der Benutzeroberfläche, in Benutzerabläufen oder Rechtschreibfehler.
- Meldungen, die darauf hinweisen, dass Produkte und Dienstleistungen nicht vollständig mit der „Best Practice” übereinstimmen, wie z. B. zu fehlenden Security-Headern oder standortübergreifendem Self-Cross-Scripting.
Verisure muss:
- Den Empfang der Sicherheitsschwachstellenmeldung innerhalb von 30 Tagen nach deren Eingang bestätigen.
- Der meldenden Person für die Zeit von der oben genannten Empfangsbestätigung bis zum Vorgangsende im zweiwöchentlichen Rhythmus eine Statusaktualisierung zur Sicherheitsschwachstellemeldung zukommen lassen.
- Eine schriftliche Entscheidung darüber vorlegen, ob die meldende Person die Sicherheitsschwachstelle öffentlich bekanntgeben darf oder nicht. Sofern Verisure zuvor entsprechend zugestimmt hat, muss Verisure den Inhalt der öffentlichen Bekanntgabe vor der Veröffentlichung überprüfen.
Vorschriften zur verantwortungsvollen Offenlegung
Diese Richtlinie ist so konzipiert, dass sie mit der üblichen Vorgehensweise zur Offenlegung von Sicherheitsrisiken und den geltenden Vorschriften kompatibel ist. Sie bietet keine Immunität für Personen, die gesetzwidrig oder in einer Weise handeln, die dazu führen könnte, dass Verisure oder dessen Partnerorganisationen gegen gesetzliche Verpflichtungen verstoßen.
Wer macht was?
| Verantwortliche Gruppe | Beschreibung |
|---|---|
| Meldende Person | Personen, die eine Sicherheitsschwachstelle in den Produkten oder Systemen von Verisure melden, wie etwa IT-Sicherheitsexperten, Ethical Hackers, Partner, sowie Mitarbeiter und Kunden von Verisure, die während der normalen Nutzung von Produkten oder Leistungen Probleme finden. |
| Verisure | Alle Mitarbeiter von Verisure, einschließlich von Mitarbeitern und Auftragnehmern, die an dem Prozess zur Prüfung von und zur Reaktion auf über dieses Medium gemeldete Sicherheitsschwachstellen beteiligt sind. |
| Definitionen | |
| Sicherheitsschwachstellen | Spezifische Sicherheitsschwachstellen, die in Produkten oder Leistungen von Verisure gefunden werden und einen Schwachpunkt in Software- oder Hardwarekomponenten darstellen, dessen Ausnutzung negative Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten bzw. Leistungen von Verisure haben könnte. |
| Produkt/Leistung von Verisure | Produkte oder Systeme, die durch Verisure entwickelt oder hergestellt werden. Produkte, Systeme und Daten, die sich nicht im Besitz von Verisure befinden, fallen nicht unter diese Richtlinie. |
Fragen und Unterstützung
Das Verisure-Sicherheitsteam ist für alle Vorgänge im Zusammenhang mit der Offenlegung von Sicherheitsschwachstellen zuständig. Das Team kann durch Ausfüllen und Einreichen des Formulars unten kontaktiert werden.