germanyde

Responsible Disclosure

Verbesserung der Systemsicherheit

Täglich sind Spezialisten von Robeco damit beschäftigt, die IT-Systeme und -Prozesse zu verbessern. Das trägt zum Schutz der Daten unserer Kunden vor Missbrauch dar und stellt außerdem sicher, dass wir unsere Services dauerhaft erbringen können. Es bedeutet allerdings nicht, dass unsere Systeme immun gegenüber Problemen sind. Sollten Probleme identifiziert werden, würden wir gern auf Ihre Unterstützung bauen.

Was können wir voneinander erwarten?

Informieren Sie uns über alle Probleme in Bezug auf die Sicherheit der Services, die Robeco im Internet erbringt. Sollten Sie ein Problem oder eine Schwachstelle entdecken, teilen Sie uns dies bitte schnellstmöglich mit. Beispiele für Schwachstellen, die angezeigt werden sollten sind:

  • Cross-Site-Scripting-Schwachstellen
  • SQL-Injection-Schwachstellen
  • Verschlüsselungs-Schwachstellen

Was benötigen wir von Ihnen?

Vermeiden Sie es, Schäden zu verursachen, während eine entdeckte Schwachstelle untersucht wird. Die Untersuchung darf auf keinen Fall dazu führen, dass Services unterbrochen werden oder dass Daten des Assetmanagers oder seines Kunden publiziert werden.

Wie gehen wir mit Ihrem Report um?

Ein Team aus Sicherheitsexperten analysiert Ihren Report und antwortet darauf schnellstmöglich. Wir fordern Sie auf, das Problem nicht publik zu machen, sondern es einem unserer Experten mitzuteilen. Geben Sie uns die nötige Zeit, das Problem zu beheben. Wir werden Sie über unsere Einschätzung Ihres Reports unterrichten, ob wir das Problem lösen und wann wir das zu tun beabsichtigen.

Spielregeln

Es besteht das Risiko, dass bestimmte Aktivitäten während einer Untersuchung strafbar sein könnten. Wenn Sie in gutem Glauben handeln, sorgfältig vorgehen und sich an die Spielregeln halten, hat Robeco keinen Grund, Sie anzuzeigen. Folgen Sie daher bitte den Regeln, die in diesen Responsible Disclosure-Leitlinien festgehalten sind, und handeln Sie nicht unangemessen:

  • Verwenden Sie kein Social Engineering, um Zugang zum System zu erlangen.
  • Platzieren Sie keine Backdoor in einem Informationssystem, um seine Verletzlichkeit zu demonstrieren, da dies weiteren Schaden verursachen und unnötige Sicherheitsrisiken mit sich bringen kann.
  • Nutzen Sie eine Schwachstelle so wenig wie möglich aus. Nehmen Sie nur Handlungen vor, die zur Feststellung der Schwachstelle erforderlich sind.
  • Bearbeiten oder löschen Sie keine Daten in dem System und seien Sie beim Kopieren von Daten möglichst vorsichtig. Wenn ein Nachweis ausreicht, um das Problem zu illustrieren, fahren Sie bitte nicht weiter fort.
  • Nehmen Sie keine Änderungen am System vor.
  • Versuchen Sie nicht, wiederholt Zugang zum System zu erlangen, und übermitteln Sie den erhaltenen Zugang nicht an Dritte.
  • Verwenden Sie keine sogenannten „Brute Force“-Methoden, um Zugang zu den Systemen zu erhalten. Dabei geht es auch nicht wirklich um die Offenlegung von Schwachstellen, sondern um das massenhafte Ausprobieren von Passwörtern.

Wie sollte man einen Report einreichen?

Wenn Sie eine Schwachstelle identifiziert haben, informieren Sie uns bitte über das untenstehende Formular.

Was braucht nicht über die Offenlegungsstelle angezeigt werden?

Die Offenlegungsstelle ist nicht gedacht für:

  • die Übermittlung von Beschwerden in Bezug auf Services
  • die Meldung von betrügerischen Handlungen und/oder den Verdacht betrügerischer Handlungen mittels gefälschter E-Mails oder Phishing-Mails
  • die Anzeige von Viren
  • das Einreichen von Beschwerden oder Fragen hinsichtlich der Verfügbarkeit der Website