CVD-Richtlinie

(english version below)

CVD-Richtlinie von BelWü

Sollten Sie eine oder mehrere Schwachstellen auf der Website der Belwü-Koordination gefunden haben, können Sie sich vertrauensvoll an uns wenden. Wir nehmen jede gemeldete Schwachstelle ernst. Wir erwarten, dass Sie sich an diese Coordinated-Vulnerability-Disclosure-Richtlinie (CVD-Richtlinie) der Belwü-Koordination halten, damit Ihre Schwachstellenmeldung überprüft und bearbeitet werden kann.

Wir garantieren:

  • jeden Schwachstellenbericht innerhalb des gesetzlichen Rahmens vertraulich zu behandeln.
  • personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiterzugeben.
  • eine Rückmeldung zu jeder getätigten Schwachstellenmeldung zu geben.
  • keine strafrechtlichen Schritte gegen Sie einzuleiten, solange Ihrerseits die Richtlinie und die Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
  • Ansprechpartner für den vertrauensvollen Austausch während des gesamten Prozesses zu sein.
  • nach Überprüfung und Bearbeitung einer Schwachstellenmeldung, falls gewünscht, Ihren Namen/Alias sowie eine gewünschte Referenz auf der Danksagungsseite unserer Website zu veröffentlichen.

Bitte beachten Sie für den Fall, dass Sie personenbezogene Daten in der Meldung oder im Meldeformular angegeben haben, die Hinweise in unserer Datenschutzerklärung.

Wir erwarten von Ihnen, dass

  • die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde, d. h., dass keine Schäden über die gemeldete Schwachstelle hinaus verursacht wurden.
  • keine Angriffe (wie z. B. Social-Engineering-, Spam-, (Distributed)DoS- oder "Brute Force"-Angriffe, etc.) gegen IT-Systeme oder Infrastrukturen durchgeführt wurden.
  • keine Manipulation, Kompromittierung oder Veränderungen von möglichen Systemen oder Daten Dritter vorgenommen wurden.
  • keine Tools zur Schwachstellenausnutzung, die Dritte zur Begehung von Straftaten nutzen könnten, zu verwenden.
  • es sich bei der Schwachstellenmeldung nicht um Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation handelt. Diese stellen keine gültigen Schwachstellenmeldungen dar.
  • es sich bei der Schwachstellenmeldung um bisher nicht bekannte Informationen handelt. Zu bereits behobenen Schwachstellen werden Ihre Informationen entgegengenommen und geprüft.
  • grundsätzlich gültige Kontaktdaten (E-Mail-Adresse) hinterlegt werden, damit wir Sie im Falle von Rückfragen kontaktieren können. Gerade bei komplexen Schwachstellen ist nicht auszuschließen, dass wir weitere Erklärungen und Dokumentationen benötigen. Da wir sehr viel Wert auf eine gute Kommunikation legen, werden Schwachstellenmeldungen ohne Kommunikationsmöglichkeiten (beispielsweise gültige Kontaktdaten) nur eingeschränkt bearbeitet. Auch wenn Sie uns einen Namen oder Kontaktdaten übermitteln, werden wir auf Wunsch im Rahmen der gesetzlichen Möglichkeiten die Anonymität der Sicherheitsforscher gegenüber Dritten wahren.

Schwachstellenmeldung

Sie können uns Schwachstellen auf unserer Website per E-Mail melden: abuse@belwue.de

Unseren öffentlichen PGP-Key finden Sie unter: https://belwue.de/abuse-pgp-pubkey

Belohnungen

Belwü bietet Sicherheitsforschern als Anerkennungsmöglichkeit die Referenzierung (Name oder Alias) sowie einen gewünschten Referenzlink auf unserer Danksagungswebseite ("Hall-of-Fame") an.

Im Rahmen einer durchgeführten Sicherheitsmeldung bieten wir aktuell keine finanzielle Kompensation an.

CVD policy of BelWü

If you find one or more (security) weaknesses on the website of the Belwü coordination, you can submit them to us. We will take every submission seriously. We expect you to follow this coordinated vulnerability disclosure policy (CVD policy), so we can check and process your submission.

We guarantee:

  • to keep each submission confidential within the legal scope.
  • not to submit your personal data to others without your consent.
  • to give you feedback for each submission.
  • not to press charges against you for revealing weknesses to us, as long as you stick to this policy. This paragraph does not apply if criminal intentions have been or are being pursued.
  • to be your trustworhy contact person during the whole process.

Please note our privacy policy(de), in case you submit personal data.

We expect of you:

  • not to misuse any weakness you find.
  • not to perform any attacks against our IT-systems or infrastructure, especially but not limited to: social engineeering, spamming, DDoS oder brute force attacks.
  • not to manipulate or compromise systems or data of us or third parties.
  • not to use tools to exploit weaknesses, which could be used by third parties to commit crimes.
  • not to submit findings of automated scans without descriptive documentation. These do count as viable submissions.
  • not to submit findings that are already known or fixed.
  • to give us a valid contact information, so we can reach you in case of follow-up questions. Especially complex weaknesses are likely to throw follow-up questions that require more explanation or documentation. We value good communication, therefore submissions without valid contact data can only be processed to a limited extent. If you submit your name or contact data, we will keep your anonymity if you wish so, within the legal scope.

Submission

You can submit (security) weaknesses on our website via e-mail: abuse@belwue.de

You can find our public pgp key at: https://belwue.de/abuse-pgp-pubkey

Compensation

Belwü offers security engineers to be mentioned in our hall of fame with name and/or alias and/or your preferred reference.

We are sorry that we currently cannot offer any financial compensation.