Responsible Disclosure
Sicherheit ist unsere tägliche Arbeit, deshalb nehmen wir sie auch bei uns selbst ernst. Wenn Sie eine Schwachstelle in unseren Systemen finden, möchten wir davon erfahren. Hier beschreiben wir, wie Sie sie sicher melden und was Sie von uns erwarten können.
Wie Sie eine Schwachstelle melden
Schreiben Sie uns an contact@elementrica.com. Die Kontaktdaten des Sicherheitsteams in maschinenlesbarer Form finden Sie außerdem in unserer Datei security.txt.
Beschreiben Sie in Ihrer Meldung kurz: worum es bei der Schwachstelle geht, wie man sie reproduziert (Schritt für Schritt) und welche Auswirkungen sie haben kann. Fügen Sie einen Nachweis bei (zum Beispiel einen Screenshot oder eine Anfrage), aber ohne unnötigen Zugriff auf Daten.
Umfang
Die Regeln gelten für Dienste und Systeme, die Elementrica gehören, einschließlich dieser Website. Wenn Sie nicht sicher sind, ob eine Ressource zu uns gehört, fragen Sie, bevor Sie mit dem Testen beginnen.
Regeln für sicheres Testen
Damit Ihre Handlungen für beide Seiten sicher sind, halten Sie sich an einige Regeln. Bitte:
- handeln Sie in gutem Glauben und nur in dem Umfang, der zum Nachweis der Schwachstelle nötig ist,
- greifen Sie nicht auf fremde Daten zu, verändern oder löschen Sie sie nicht,
- führen Sie keine Angriffe auf die Verfügbarkeit (DoS/DDoS) und keine Leistungstests durch,
- setzen Sie keine Social-Engineering-Methoden gegen unsere Mitarbeitenden, Kunden oder Auftragnehmer ein,
- nutzen Sie die Schwachstelle nicht über das zur Bestätigung Notwendige hinaus,
- geben Sie uns eine angemessene Zeit zur Behebung, bevor Sie Details öffentlich machen.
Unsere Zusagen
Im Gegenzug verpflichten wir uns:
- Sie über den Fortschritt bei Analyse und Behebung zu informieren,
- keine rechtlichen Schritte gegen Personen einzuleiten, die in gutem Glauben und gemäß diesen Regeln handeln,
- der Autorin oder dem Autor der Meldung zu danken, sofern sie oder er zustimmt.
Was wir nicht als Schwachstelle behandeln
In der Regel qualifizieren wir Meldungen nicht, die sich ausschließlich beziehen auf:
- fehlende Sicherheits-Header ohne nachgewiesene reale Auswirkung,
- Ergebnisse automatischer Scanner ohne Bestätigung der Ausnutzbarkeit,
- rein theoretische Fragen oder solche, die unwahrscheinliche Bedingungen erfordern.