Schwachstellenmeldungen

Wir legen großen Wert auf die Sicherheit unserer digitalen Produkte. Daher sind wir bestrebt, relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nehmen wir Hinweise gerne entgegen.

Sollten Sie eine oder mehrere Schwachstellen in unseren digitalen Produkten gefunden haben, können Sie sich vertrauensvoll an uns wenden. Nach Eingang der Meldung, untersuchen und behandeln wir die empfangenen Hinweise auf mögliche Schwachstellen im Rahmen unserer Prozesse.

Wir versprechen,

• jeden Schwachstellenbericht innerhalb des gesetzlichen Rahmens vertraulich zu behandeln.
• personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiterzugeben.
• eine Rückmeldung zu jeder getätigten Schwachstellenmeldung zu geben.
• keine strafrechtlichen Schritte gegen Sie einzuleiten, solange Ihrerseits die Richtlinie und Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
• Ansprechpartner für den vertrauensvollen Austausch während des gesamten Prozesses zu sein.

Wir erwarten von Ihnen, dass

• die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde. D.h., dass keine Schäden über die gemeldete Schwachstelle hinaus angerichtet wurden.
• keine Angriffe (wie z.B. Social-Engineering-, Spam-, (Distributed) DoS- oder „Brute Force“-Angriffe, etc.) gegen IT-Systeme oder Infrastrukturen durchgeführt wurden.
• keine Manipulation, Kompromittierung oder Veränderung von möglichen Systemen oder Daten Dritter vorgenommen wurde;
• keine Tools zur Schwachstellenausnutzung z.B. auf Darknet-Märkten entgeltlich oder unentgeltlich angeboten wurden, die Dritte zur Begehung von Straftaten nutzen können.
• es sich bei der Schwachstellenmeldung nicht um Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation handelt. Diese stellen keine gültigen Schwachstellenmeldungen dar.
• es sich bei der Schwachstellenmeldung um bisher nicht bekannte Informationen handelt. Zu bereits behobenen Schwachstellen werden Ihre Informationen zwar entgegengenommen und geprüft, sie qualifizieren sich jedoch nicht für eine weiterführende Bearbeitung im Rahmen des CVD-Prozesses.
• grundsätzlich gültige Kontaktdaten (E-Mail-Adresse) hinterlegt werden, damit wir Sie im Falle von Rückfragen kontaktieren können. Gerade bei komplexen Schwachstellen ist es nicht auszuschließen, dass wir weitere Erklärungen und Dokumentationen benötigen.

Es können nur E-Mails in englischer oder deutscher Sprache berücksichtigt werden.

Schwachstellenmeldende, die ein eigenes Meldungsformat verwenden, (bspw. via PDF oder txt) können Schwachstellenmeldungen und Koordinierungsanfragen direkt per E-Mail an uns senden.

Senden Sie Schwachstellenmeldungen zu unserer Webseite bitte an csirt@goepel.com.
Schwachstellen in unseren Produkten senden Sie bitte an psirt@goepel.com. 

Wir empfehlen Ihnen dringend, die gesamte E-Mail-Kommunikation mit uns zu verschlüsseln. Unsere öffentlichen S/MIME- und PGP-Schlüssel finden Sie hier https://www.goepel.com/regeln.

Bei Schwachstellen auf Webseiten oder in Produkten melden Sie bitte die folgenden Informationen:

1. Betroffenes Produkt, einschließlich Modell und Firmware-Version (falls verfügbar) oder URL-Adresse für Webseiten-Schwachstellen.
2. Beschreibung der Schwachstelle, einschließlich Proof-of-Concept, Exploit-Code oder Netzwerk-Traces (sofern verfügbar).
3. Eine Zuordnung der Schwachstelle an die OWASP Top 10 2021 (siehe https://owasp.org/www-project-top-ten). Sollte keiner der Schwachstellenkategorien passen so ist diese als „Sonstige“ näher zu beschreiben.

Schwachstellen können Sie gerne auch mittels Online-Formular melden. Der vertrauensvolle Umgang mit Ihren Informationen wird dabei stets gewahrt.