Meldung einer usd Schwachstelle oder eines Bugs

Wir setzen alles daran, die Sicherheit unserer eigenen Webpräsenzen, Plattformen und eingesetzten IT-Infrastrukturkomponenten zu gewährleisten. Dennoch kann es vorkommen, dass Sie eine Schwachstelle oder einen Bug in unseren Systemen entdecken. In diesem Fall bitten wir Sie, verantwortungsvoll mit der Schwachstelle umzugehen und diese zwecks Korrektur zu melden. Dafür haben wir nachfolgend einen dedizierten Prozess implementiert.

Disclosure Guideline

Wir streben die Behebung gemeldeter Schwachstellen oder Bugs innerhalb von 60 Tagen an. Besteht die Schwachstelle in einer Komponente eines Drittanbieters, werden wir die Verantwortlichen kontaktieren, um eine Behebung derselbigen zu veranlassen. Für die Meldung von Schwachstellen und Bugs gelten folgende Regeln:

Wir zahlen keine Prämien für gemeldete Schwachstellen aus.
Schwachstellen dürfen nur in Abstimmung mit der usd AG veröffentlicht werden.
Verstoßen Sie nicht gegen geltendes Recht und beschädigen oder kompromittieren Sie keine Daten der usd und/oder ihrer Kunden und nutzen Sie keine bestätigten Schwachstellen aus.
Geben Sie in Schwachstellenberichten, einschließlich aller Anhänge, keine Informationen an, durch die eine Einzelperson identifiziert werden könnte (z.B. Name, Kontaktdaten).
Zwecks schnellstmöglicher Bearbeitung von Schwachstellenmeldungen stellen Sie bitte sicher, dass Sie die Schritte detailliert erläutern, die zum Nachvollziehen der Schwachstelle erforderlich sind.

Legal & Conditions

Indem Sie Schwachstellen und/oder Lösungsvorschläge (nachfolgend als „Feedback“ bezeichnet) bei der usd AG einreichen

verpflichten Sie sich jeglichen Schaden bei der usd AG und/oder ihren Kunden zu vermeiden, und stimmen daher zu, keine Informationen zu veröffentlichen, bevor ein Fix und/oder Patch von der usd AG zur Verfügung gestellt wurde; und
erklären Sie sich damit einverstanden, dass die usd AG dieses Feedback zur Aktualisierung und/oder Verbesserung ihrer Webpräsenzen, Plattformen und eingesetzten IT-Infrastrukturkomponenten verwenden darf; und
gewähren Sie der usd AG, Ihr Feedback für jeden Zweck ohne Einschränkung oder Vergütung jeglicher Art in Bezug auf Sie und/oder Ihre Vertreter zu verwenden.

Haben Sie eine Schwachstelle oder einen Bug entdeckt?

Informieren Sie uns bitte gemäß der oben genannten Richtlinien. Bitte nutzen Sie unser Meldeformular oder wenden sich direkt an incident-response-team@usd.de. Für eine verschlüsselte Kommunikation via E-Mail können wir Ihnen S/MIME oder PGP anbieten. Für den Datenaustausch per Mail benötigen wir Ihr Zertifikat oder Ihren öffentlichen PGP-Schlüssel.

    Eine kurze Notiz oder Beschreibung, die zur Identifizierung der Schwachstelle oder des Bugs beiträgt.

    Nennen Sie die Komponenten, die von der Schwachstelle oder des Bugs betroffen sind.

    Schritte zur Reproduktion

    Bitte nutzen Sie für den verschlüsselten Datenaustausch, z.B. für den Proof of Concept (PoC), unsere webbasierte usd Austauschplattform.

    Einen abgesicherten Datenraum finden Sie hier: https://transfer.usd.de/index.php/s/rZFqL6mLZkz4gR4.

    Informationen zum Sicherheitsforscher

    Detaillierte Informationen zum Umgang mit Ihren Nutzerdaten finden Sie in unseren Datenschutzhinweisen.

    Input this code: captcha

    Der verantwortungsvolle Umgang mit gefundenen Schwachstellen hat für uns oberste Priorität. Gemäß unserer Mission „more security“ informieren wir deshalb Hersteller über von uns identifizierte Schwachstellen in Standardprodukten und veröffentlichen diese verantwortungsvoll.

    Sie möchten sich den Guten anschließen und die IT-Welt sicherer machen? Werden Sie Teil von unserem Team! Mehr erfahren.