Digitale Schwachstelle melden

Was tun Sie, wenn Sie eine Schwachstelle entdecken?

• Senden Sie diese per E-Mail an cvd@aalten.nl. Verschlüsseln Sie Ihre Nachricht mit unserem PGP-Schlüssel, um zu verhindern, dass die Informationen in die falschen Hände geraten. Den PGP-Schlüssel finden Sie im Anhang unten auf dieser Seite.
• Bitte geben Sie uns genügend Informationen, damit wir das Problem so schnell wie möglich finden, reproduzieren und lösen können. Ihr Bericht besteht aus:
  • Eine IP-Adresse oder die URL des betroffenen Systems;
  • einen Proof of Concept (PoC), aus dem hervorgeht, wie Sie die Schwachstelle gefunden haben;
  • ein CVE (falls verfügbar), eine Liste mit bekannten Sicherheitslücken von Software
  • Eine klare Beschreibung der Verwundbarkeit.
• Melden Sie die Schwachstelle so schnell wie möglich, nachdem Sie sie entdeckt haben.
• Geben Sie Tipps, die uns helfen, das Problem zu lösen. Erklären Sie Ihre Tipps mit Fakten und vermeiden Sie Werbung für bestimmte (Sicherheits-)Produkte.
• Bitte hinterlassen Sie Ihre Kontaktdaten, damit wir mit Ihnen zusammenarbeiten können, um ein sicheres Ergebnis zu erzielen. Wir benötigen mindestens eine E-Mail-Adresse oder Telefonnummer.

Was sollten Sie auf jeden Fall nicht tun?

• Missbrauch der Sicherheitslücke in irgendeiner Form. Zum Beispiel durch das Herunterladen von mehr Daten als nötig, um das Leck zu demonstrieren. Oder durch Zugriff, Löschen oder Ändern von Daten Dritter.
• Teilen Sie die Schwachstelle mit anderen oder machen Sie sie öffentlich, bevor wir die Schwachstelle beheben.
• Ergreifen von mehr Maßnahmen als nötig, um das Sicherheitsproblem aufzuzeigen und zu melden.
• Angriffe auf:
  • physische Sicherheit.
  • Social Engineering, der Missbrauch menschlicher Eigenschaften wie Neugierde, Vertrauen, Gier, Angst und Unwissenheit.
  • (verteilte) Dienstverweigerung, die den Benutzer daran hindert, auf ein Computersystem zuzugreifen.
  • Phishing; Betrug durch Internet-Betrug.
  • Anwendungen von Drittanbietern.
• Schadsoftware auf unseren Systemen oder denen von Dritten zu platzieren.

Was können Sie von uns erwarten?

• Wir behandeln Ihre Meldung vertraulich. Und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter. Es sei denn, wir sind gesetzlich dazu verpflichtet. Oder wenn wir eine gerichtliche Anordnung befolgen müssen.
• Sie erhalten innerhalb von 1 Arbeitstag eine automatische Empfangsbestätigung.
• Innerhalb von 7 Arbeitstagen erhalten Sie eine (erste) Bewertung des Berichts. Und möglicherweise einen voraussichtlichen Termin für eine Lösung.
• Wir werden versuchen, das Problem innerhalb von 90 Tagen zu lösen. Wenn möglich, werden wir mit Ihnen zusammenarbeiten. In jedem Fall werden wir Sie über unsere Bemühungen informieren.
• Wenn möglich, teilen wir den Bericht mit dem Informationssicherheitsdienst für Kommunen (IBD). Auf diese Weise stellen wir sicher, dass die Kommunen ihre Erfahrungen in diesem Bereich austauschen.
• Trägt Ihr Bericht wirklich zur Erhöhung der Sicherheit unserer Systeme bei? Dann erhalten Sie als Dankeschön für Ihre Hilfe eine angemessene Belohnung. Je nach der Schwere des Sicherheitsproblems und der Qualität des Berichts kann die Belohnung variieren. Es muss sich jedoch um ein unbekanntes und schwerwiegendes Sicherheitsproblem handeln.

Sie können davon ausgehen, dass Ihre Meldung keine rechtlichen Folgen für Sie hat, wenn Sie die oben genannten Grundregeln befolgen. Stellt sich heraus, dass Sie die Regeln nicht befolgt haben? Dann können wir trotzdem beschließen, rechtliche Schritte gegen Sie einzuleiten. Dabei werden wir prüfen, ob Sie im öffentlichen Interesse, im Rahmen der Verhältnismäßigkeit und der Subsidiarität gehandelt haben.