Vulnerability Disclosure Policy (VDP)

der X-Net Services GmbH & X-Net Technologies GmbH (Richtlinie zur Offenlegung von Sicherheitslücken, konform mit ISO 29147:2020)

Die Sicherheit unserer Produkte und Dienstleistungen hat für uns höchste Priorität. Jeder Hinweis trägt dazu bei, unsere Systeme sicherer zu machen. Diese Policy beschreibt, wie Sie Schwachstellen in unseren Systemen oder Produkten sicher, verantwortungsvoll und rechtlich konform melden können.

Was sehen wir als Schwachstelle an?

  • Jegliche Probleme, die die Verfügbarkeit unserer Dienste betreffen; insbesonders dann, wenn diese Probleme das Ergebnis feindseliger Handlungen oder Angriffe sind.

  • Jede Bedrohung, Zerstörung, Manipulation oder nicht autorisierte Veränderung der von X-Net Services GmbH oder X-Net Technologies GmbH gehosteten Daten sowie der Integrität dieser Daten.

  • Jede Kompromittierung von als vertraulich geltenden Daten, welche X-Net Services GmbH oder X-Net Technologies GmbH gehören, so dass Informationen, die einer Zugriffsbeschränkung unterliegen, zugänglich werden, offengelegt, gestohlen oder unautorisiert abgezogen werden.

Geltungsbereich:

  • www.x-net.at und alle dazugehörigen Subdomains sowie sämtliche von X-Net Services GmbH und X-Net Technologies GmbH eigenverantwortlich betriebenen Webseiten.

  • Produkte und Dienstleistungen von X-Net Services GmbH und X-Net Technologies GmbH (z. B. Mox Linux Gateway, Sec³, Individualsoftware).

  • Weitere Systeme und Infrastrukturen im Eigentum oder unter der Kontrolle von X-Net Services GmbH und X-Net Technologies GmbH.

Eine Schwachstelle melden:

  • Melden Sie Schwachstellen ausschließlich an: security@x-net.at

  • Um uns bei der Behebung der Schachstelle zu helfen, bitten wir um folgende Inhalte in der Meldung:

    • um welches System, Produkt oder um welche Dienstleistung es sich handelt und, wenn bekannt, in welcher Version die Schwachstelle aufgetreten ist

    • aussagekräftige Anleitung, um die Schwachstelle nachzuvollziehen (bevorzugt: eine Schritt für Schritt Auflistung)

    • wenn möglich: Beispielquellen ("proof-of-concept code") zur Demonstration des Problems

    • wenn zutreffend: geben Sie an, ob Sie als Nutzer an- oder abgemeldet sind, wenn das Problem auftritt

    • bei XSS oder Schwachstellen, deren Ausnutzung einen bestimmten Browser oder ein bestimmtes Plugin erfordern, geben Sie bitte den Browser und die Version an, die Sie verwenden. Die genaue Version jeder eingesetzten Software ist hilfreich.

    • wenn möglich: OWASP-Schwachstellenkategorie (unter Verwendung von OWASP Top 10 for 2017), oder CWE-ID (unter Verwendung von CWE By Research Concepts)

    • CVE, soweit zugeteilt (unter Verwendung der NIST CVE database)

    • Datum und Uhrzeit der Entdeckung

    • sonstige zusätzliche Informationen die erforderlich sind, um das Problem zu untersuchen oder nachzuvollziehen

    • Kontaktinformation und bevorzugtes Kommunikationsmittel, über das wir mit Ihnen in Kontakt treten können

  • Wir streben eine offene und kooperative Kommunikation mit allen Meldenden an. Alle Kommunikation erfolgt vertraulich.

Wir bitten darum, ...

  • Schwachstellen nicht zu veröffentlichen, bevor wir diese gemeinsam bewertet und behoben haben

  • verantwortungsvoll und im Einklang mit geltendem Recht zu handeln

  • keine automatisierten Scans ohne vorherige schriftliche Zustimmung zu verwenden

  • Aktivitäten zu vermeiden, die zu Ausfällen oder Beeinträchtigungen unserer Dienste führen könnten

  • auf unautorisierten Zugriff auf personenbezogene Daten oder Systeme zu verzichten

Auch wenn Sie im Rahmen der Sicherheitsforschung handeln, müssen Ihre Aktivitäten mit dieser Policy und dem geltenden Recht übereinstimmen. Solange Sie in gutem Glauben und innerhalb dieser Policy handeln, arbeiten die Verantwortlichen der X-Net Services GmbH und X-Net Technologies GmbH gerne mit Ihnen zusammen. Andernfalls sehen wir uns leider gezwungen, uns rechtliche Schritte gegen Sie vorzubehalten.

Was passiert, wenn Schwachstellen gemeldet werden?

  • Wir...
    • prüfen jede eingegangene Meldung sorgfältig.
    • versuchen, das Problem nachzuvollziehen und dem Fehler eine seiner Tragweite gemäße Priorität zuzuweisen.
    • entscheiden, ob es sich tatsächlich um ein Sicherheitsproblem handelt.
    • bewerten das Problem somit hinsichtlich Reproduzierbarkeit, Kritikalität, betroffene Systeme/Produkte und Ausnutzbarkeit
  • Wir reagieren innerhalb von 5 Werktagen auf Ihre Meldung und arbeiten mit Ihnen gemeinsam an einer zeitnahen Lösung, inklusive:
    • geplanter Fehlerkorrektur-Termine oder Zwischenlösungen (z. B. Workaround).
    • Möglichkeit zur Rückmeldung bei Rückfragen oder Tests.
  • Die Fehlerkorrektur…
    • wird gemäß dem Stand-der-Technik überprüft
    • wird auf das betroffene System, Produkt bzw. die betroffene Dienstleistung ausgerollt.

Wie werden Schwachstellen und Fehlerkorrekturen veröffentlicht?

Im Sinne der verantwortungsvollen Offenlegung veröffentlichen wir Informationen zu sicherheitsrelevanten Schwachstellen innerhalb von 90 Kalendertagen nach Eingang, es sei denn:

  • Der/die Finder*in bittet um einen anderen Zeitplan und wir einigen uns auf eine andere angemessene Vorgehensweise.

  • Die Schwachstelle wird innerhalb dieser Frist behoben und sofort veröffentlicht.

Die Veröffentlichung erfolgt über:

  • ein technisches Advisory auf unserer Website oder über geeignete Kommunikations-Kanäle, um die betroffenen Kunden direkt zu erreichen

  • bei Bedarf eine CVE-Zuweisung (sofern registriert)

  • Informationen zu betroffenen Versionen, Lösungen etc.

Auf Wunsch nennen wir Sie als Entdecker*in, sobald die Schwachstelle behoben und veröffentlicht ist.

Haftungsausschluss

Diese Policy stellt keine Freigabe für sicherheitsrelevante Aktivitäten außerhalb des hier definierten Rahmens dar. X-Net Services GmbH und X-Net Technologies GmbH behalten sich das Recht vor, diese Policy jederzeit zu ändern oder anzupassen.