Umgang mit Sicherheitsvorfällen & Melden von Schwachstellen

Melden von Schwachstellen

Einleitung
SecureCloud versteht sich als Anbieter von Sicherheitslösungen und legt großen Wert auf sichere Softwareentwicklung sowie eine umfassende Qualitätssicherung in den eigenen Prozessen und Strukturen. Trotz aller Bemühungen können Schwachstellen in unseren Diensten und Anwendungen nicht vollständig ausgeschlossen werden. Daher führen wir regelmäßig Penetrationstests durch und betreiben ein Bug-Bounty-Programm, an dem interessierte Sicherheitsforscher teilnehmen können.

Gültigkeitsbereich
Diese Richtlinie gilt für alle digitalen Assets, die SecureCloud gehören, von SecureCloud betrieben oder kontrolliert werden, einschließlich, aber nicht beschränkt auf:

• Webseiten
• Applikationen
• APIs
• Netzwerke

Meldung einer Schwachstelle
Wenn Sie glauben, eine Sicherheitslücke entdeckt zu haben, sollten Sie uns dies so schnell wie möglich mitteilen. Die bevorzugte Methode zur Übermittlung von Informationen über mögliche Sicherheitslücken ist die Meldung an security@securecloud.de mittels verschlüsselter S/MIME E-Mail.

Die Angabe von Kontaktinformationen zusammen mit Ihrem Bericht ist freiwillig. SecureCloud wird alle eingereichten Meldungen berücksichtigen, unabhängig davon, ob diese anonym oder mit Kontaktdaten eingereicht werden. Wenn Sie Ihre Kontaktdaten angeben, werden diese ausschließlich genutzt, um bei Bedarf Rückfragen zu klären. Bitte teilen Sie uns auch mit, ob Sie öffentlich genannt werden möchten, falls wir das gemeldete Problem bestätigen und beheben.

Bedingungen
Wenn Sie SecureCloud per E-Mail oder auf andere Weise Schwachstellen und Fehler melden, stimmen Sie den folgenden Bedingungen zu:

• SecureCloud ist berechtigt, Ihren Bericht für jeden Zweck zu verwenden, einschließlich der Behebung von gemeldeten Schwachstellen und Fehlern, die SecureCloud für relevant und korrekturbedürftig hält.
• Soweit Sie in Ihrem Bericht Änderungen und/oder Verbesserungen an einem SecureCloud-Produkt oder -Dienst vorschlagen, übertragen Sie alle Nutzungs- und Eigentumsrechte an diesen Vorschlägen auf die SecureCloud GmbH.

Unser Engagement
Wir danken Ihnen für Ihre Unterstützung bei der Gewährleistung der Sicherheit unserer Kunden. Falls Sie öffentlich genannt werden möchten, wenn wir das gemeldete Problem bestätigen und beheben, informieren Sie uns bitte bei der Meldung der Schwachstelle.

Um verantwortungsvolles Melden zu fördern, verpflichten wir uns, keine rechtlichen Schritte gegen Forscher einzuleiten, die:

• Tests durchführen, die dieser Richtlinie entsprechen,
• uns Schwachstellen unverzüglich und vertraulich melden,
• die Schwachstelle nicht über das Maß hinaus ausnutzen, das notwendig ist, um ihre Existenz zu bestätigen, und
• SecureCloud, unseren Kunden oder unseren Mitarbeitenden keinen Schaden zufügen.

Ihre Verpflichtung
Wenn Sie eine Meldung an SecureCloud übermitteln, stimmen Sie den folgenden Richtlinien zu:

• Keine Angriffe durchführen, die die Verfügbarkeit, Integrität oder Vertraulichkeit unserer Dienste oder der darin gespeicherten Informationen beeinträchtigen.
• Keine Social-Engineering-Angriffe gegen unsere Mitarbeitenden, Kunden oder unsere Infrastruktur durchführen.
• Sich nicht an Einschüchterung oder Erpressung beteiligen.
• Keine vertraulichen Informationen ohne vorherige ausdrückliche Zustimmung von SecureCloud weitergeben.
• Alle durch Tests erhaltenen Informationen über die Produkte von SecureCloud vertraulich behandeln, da diese als Geschäftsgeheimnisse gelten. Eine Weitergabe an Dritte ist nur mit ausdrücklicher schriftlicher Genehmigung von SecureCloud gestattet.
• Keine geltenden Gesetze oder Vorschriften verletzen.

Sie stimmen zu, Ihre Meldung ohne Erwartung oder Forderung einer Belohnung oder eines Vorteils zu machen und ohne die Erwartung, dass SecureCloud die gemeldeten Schwachstellen behebt. Wenn Sie Informationen über die Sicherheitslücke nach deren Beseitigung veröffentlichen möchten, bitten wir Sie, uns mindestens einen Monat vor der Veröffentlichung zu benachrichtigen und uns die Möglichkeit zur Stellungnahme zu geben. Eine Nennung von SecureCloud in einer Veröffentlichung ist nur mit unserer ausdrücklichen Zustimmung möglich.

Änderungen an dieser Richtlinie
Diese Richtlinie kann gelegentlich aktualisiert werden. Die neueste Version wird immer auf unserer Website verfügbar sein. Mit der weiteren Teilnahme an unserem Programm zur Offenlegung von Sicherheitslücken erklären Sie sich mit den Bedingungen der aktualisierten Richtlinie einverstanden.

Kontaktinformationen
Bei Fragen zu dieser Richtlinie oder dem Verfahren zur Meldung von Sicherheitslücken wenden Sie sich bitte an support@securecloud.de.

Vielen Dank, dass Sie dazu beitragen, SecureCloud und unsere Nutzer sicher zu halten.

Umgang mit sicherheitskritischen Ereignissen

Um sicherheitskritische Ereignisse schnell und effektiv behandeln zu können, hat SecureCloud die E-Mail-Adresse security@securecloud.de eingerichtet. An diese Adresse gemeldete Ereignisse werden automatisch an das InfoSec-Team von SecureCloud weitergeleitet, die diese auf Grund ihrer Auswirkungen auf die Informationssicherheit bewerten und priorisieren.

Alle Kunden sind daher angehalten, kritische Sicherheitsereignisse umgehend an die E-Mail-Adresse security@securecloud.de zu übermitteln. Alle übermittelten Informationen unterliegen der Geheimhaltung.

Wichtige Quellen für Ihre Informationssicherheit & Online-Register von Bedrohungen

Folgende Informationen und Quellen sind für Ihre Informationssicherheit relevant:

• BSI – Sicherheitshinweise
• BSI – Technische Sicherheitshinweise – Warn- und Informationsdienst (WID)
• Warn- und Informationsdienst – Aktuelle Sicherheitshinweise 

Bei Fragen steht Ihnen unser Team sehr gerne zur Verfügung, siehe hierzu auch Wie sicher ist SecureCloud?