Richtlinie zur verantwortungsvollen Offenlegung

Bei Alfen behandeln wir die Sicherheit unserer Systeme mit höchster Priorität. Aber egal, wie viel Aufwand wir in die Systemsicherheit stecken, es können trotzdem noch Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, möchten wir davon erfahren, damit wir Maßnahmen ergreifen können, um sie so schnell wie möglich zu beheben. Wir möchten Sie bitten, uns dabei zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Gehen Sie bitte wie folgt vor:

  • Senden Sie Ihre Erkenntnisse per E-Mail an security@alfen.com.
  • Machen Sie keinen Missbrauch von der entdeckten Schwachstelle oder dem Problem, zum Beispiel indem Sie mehr Daten herunterladen als nötig, um die Schwachstelle zu demonstrieren, oder indem Sie Daten anderer Personen löschen oder modifizieren.
  • Bis das Problem behoben ist, sollten Sie es gegenüber anderen nicht offenlegen.
  • Verwenden Sie keine Angriffe auf physische Sicherheit, Social Engineering, Distributed Denial of Service (DDoS), Spam oder Anwendungen von Drittanbietern und
  • stellen Sie ausreichend Informationen zur Verfügung, um das Problem reproduzieren zu können, damit wir es so schnell wie möglich lösen können. Normalerweise reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber komplexe Schwachstellen erfordern möglicherweise weitere Erläuterungen.

Was wir versprechen:

  • Wir werden innerhalb von 3 Arbeitstagen auf Ihren Bericht reagieren und Ihnen unsere Bewertung des Berichts sowie das voraussichtliche Lösungsdatum mitteilen.
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf den Bericht unternehmen.
  • Wir werden Ihre Meldung streng vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
  • Wir halten Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden.
  • In der öffentlichen zugänglichen Information über das gemeldete Problem nennen wir Ihren Namen als Entdecker des Problems (sofern Sie damit einverstanden sind) und
  • als Dankeschön für Ihre Hilfe honorieren wir jede Meldung eines Sicherheitsproblems, welches uns zuvor noch nicht bekannt war. Die Höhe der Belohnung wird je nach Schwere der Schwachstelle und der Qualität des Berichts festgelegt.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten nach ihrer Lösung eine aktive Rolle bei der abschließenden Veröffentlichung des Problems spielen.