DELA Hinweisgebersystem
Hast Du ein Sicherheitsproblem bei uns entdeckt? Dann lass es uns gerne wissen.
Wir arbeiten fortlaufend an der Sicherheit unserer Systeme und unserer Kundendaten, allerdings kann es manchmal vorkommen, dass eine Schwachstelle entsteht. Wenn Du auf eine stoßen solltest, teile sie uns bitte mit. Gerne arbeiten wir mit Dir zusammen, um unsere Systeme so sicher wie möglich zu halten.
Bitte beachte, dass unsere Richtlinie zur verantwortungsvollen Offenlegung keine Erlaubnis ist, unsere Systeme aktiv zu scannen, um Schwachstellen zu entdecken. Dies würden wir als illegalen Versuch der DELA zu schaden werten.
Was kannst Du berichten?
Zu den Schwachstellen, die Du melden kannst, gehören:
- Das Fehlen einer sicheren Verbindung
- Sicherheitslücken beim Cross-Site-Scripting (XSS).
- Schwachstellen durch SQL-Injection
- Remote-Codeausführung
Hast Du eine Schwachstelle entdeckt? Oft reicht es aus, wenn Du uns die IP-Adresse oder URL mitteilst. Gib bitte an, was Du beobachtet und/oder welche Maßnahmen Du ergriffen hast, als Du die Schwachstelle entdeckt hast. Handelt es sich um ein komplizierteres Problem? Dann kontaktieren wir Dich möglicherweise für weitere Informationen.
Manchmal geben wir keine Belohnung. Dies ist dann der Fall, wenn es um eine Schwachstelle geht, die wir bereits kennen oder deren Risiko wir in Kauf nehmen.
Beispiele:
- HTTP 404-Codes oder andere Nicht-HTTP 200-Codes
- Klartext auf 404 Seiten
- Bei nicht sensiblen Cookies fehlen die Flags „sicher“/„Nur HTTP“.
- Verwendung der HTTP-OPTIONS-Methode
- Ein oder mehrere HTTP-Sicherheitsheader fehlen
- Fehlende SPF-, DKIM- und DMARC-Einträge
- DNSSEC fehlt
- Versionsbanner zu Public Services
- Host-Header-Injection
- Öffentlich zugängliche Dateien und Ordner, die nicht vertrauliche Informationen enthalten
- Clickjacking auf Seiten ohne Login-Funktion
- Cross-Site Request Forgery (CSRF) auf Formularen, auf die anonym zugegriffen werden kann
- DDOS-Schwachstellen
- Ratenbegrenzende Schwachstellen ohne erkennbare Auswirkungen
Was kannst Du nicht melden?
Du darfst diese Richtlinie zur verantwortungsvollen Offenlegung nicht verwenden, um Beschwerden zu melden. Das Hinweisgebersystem ist auch nicht für die Meldung folgender Themen gedacht:
- Viren
- gefälschte E-Mails (Phishing)
- nicht Verfügbarkeit der Website
- Betrug
Ich möchte eine Sicherheitslücke melden
Wie schön, dass Du uns unterstützen möchtest. Hier kannst Du uns mit Deinem Hinweis erreichen:
Belohnungskonditionen
- Teile Deine Erkenntnisse nur mit uns und mache sie nicht öffentlich, auch wenn Du denkst, dass die Behebung lange dauert. Manchmal dauert es etwas länger, um das Problem zu lösen.
- Verwende keine automatisierten Tools, um Sicherheitslücken zu entdecken.
- Missbrauche das Problem nicht: Lade beispielsweise nicht mehr Daten herunter, als zum Nachweis des Lecks erforderlich sind, und ändere oder lösche keine Daten. Sei besonders vorsichtig, wenn es um personenbezogene Daten geht.
- Gib keine gefundenen Daten weiter
- Sende uns nur (minimale) Daten, die zur Darstellung des Problems erforderlich sind. Erstellen beispielsweise eine Verzeichnisliste oder einen Screenshot
- Poste keine Hintertür, um eine Sicherheitslücke aufzuzeigen. Dies kann zusätzlichen Schaden verursachen und unnötige Sicherheitsrisiken schaffen
- Teile Deine Erkenntnisse nicht mit anderen, bis wir Dir mitteilen, dass das Problem gelöst wurde
Möglicherweise tust Du bei Deiner Nachforschung etwas, das gesetzlich nicht erlaubt ist. Wir werden keine Anzeige erstatten, wenn Du in gutem Glauben, sorgfältig und im Einklang mit den oben genannten Regeln handelst.
Was passiert nach Deiner Meldung?
Du erfährst innerhalb von drei Werktagen, was wir mit Deiner Meldung machen. Wir verwenden Deine Kontaktdaten nur zur Kommunikation über die Meldung und geben sie nicht an andere weiter, es sei denn, dies ist gesetzlich vorgeschrieben. Zum Beispiel, wenn die Justiz uns dazu auffordert oder wenn wir feststellen, dass Du nicht gutgläubig handelst (also etwas tust, was strafbar ist) und dies deshalb der Polizei melden.
Wenn Du Deine Meldung anonym einreichst, können wir Dich nicht auf dem Laufenden halten und Dich nicht belohnen.
Prämienbedingungen
Handelt es sich um ein ernstes Sicherheitsproblem, das uns noch nicht bekannt ist, bedanken wir uns mit einem oder mehreren Geschenkgutscheinen (maximal 300 €).
Die Höhe der Geschenkkarten richtet sich nach dem Risiko und der Auswirkung des entdeckten Sicherheitsproblems. Wir tun unser Bestes, um ähnlichen Problemen ähnliche Belohnungen zu geben.
Bitte beachte: Wenn wir der Meinung sind, dass kein Sicherheitsproblem vorliegt oder wenn wir glauben, dass das Risiko gering und/oder akzeptabel ist, gewähren wir keine Belohnung.
Bei mehreren Meldungen geht die Belohnung an den ersten Melder. Je nach Risiko und Auswirkung des Sicherheitsproblems erhältst Du Geschenkgutscheine im Wert von bis zu 300 €.