Richtlinie zur Offenlegung von Schwachstellen
Stand: 03.04.2025
Das Helmholtz-Zentrum für Infektionsforschung GmbH (HZI) schätzt die Bemühungen von Sicherheits¬forschenden und der breiteren Öffentlichkeit, potenzielle Schwachstellen in unseren Systemen und Diensten zu identifizieren und verantwortungsbewusst zu melden. Diese Richtlinie umreißt unsere Vorgehensweise bei der Entgegennahme und Behandlung solcher Meldungen.
1. Umfang
Diese Richtlinie gilt für Schwachstellen, die in Systemen und Diensten gefunden werden, die Eigentum des HZI sind oder vom HZI kontrolliert werden.
2. Melden einer Schwachstelle
Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, bitten wir Sie, uns diese sofort zu melden. Sie können Schwachstellen melden, indem Sie uns kontaktieren.
Bitte machen Sie detaillierte Angaben über die Sicherheitslücke, einschließlich:
1. eine klare Beschreibung der Schwachstelle,
2. Schritte zur Reproduktion der Schwachstelle,
3. betroffene Systeme oder Dienste,
4. mögliche Auswirkungen der Schwachstelle sowie
5. Ihre Kontaktinformationen (falls Sie eine Rückmeldung und Erwähnung wünschen).
Darüber hinaus bemühen wir uns, die unter https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.md beschriebenen bewährten Praktiken zu befolgen, und würden es sehr begrüßen, wenn Sie als Berichterstattende dasselbe tun würden.
3. Unser Engagement
Wir verpflichten und dazu:
1. den Eingang Ihrer Meldung unverzüglich zu bestätigen.
2. Die gemeldeten Sicherheitslücken umgehend zu untersuchen und zu beheben.
3. Sie über den Fortgang unserer Ermittlungen auf dem Laufenden zu halten (falls erforderlich und gewünscht).
4. Wir arbeiten mit Ihnen zusammen, um das Problem zu verstehen und zu lösen.
4. (Keine) Bug Bounty
Das HZI erhält öffentliche Mittel und unterliegt dem deutschen Vergaberecht. Das bedeutet, dass wir rechtlich eingeschränkt sind, wie wir Steuergelder ausgeben können. Folglich können wir keine Bug-Bounties oder andere finanzielle Belohnungen für Meldungen von Sicherheitslücken anbieten. Obwohl wir alle verantwortungsvollen Meldungen sehr schätzen und gründlich untersuchen, können wir keine finanzielle Entschädigung anbieten.
5. Wichtiger Hinweis zum Thema Ransomware
HZI erhält öffentliche Mittel und versichert sich daher nicht gegen Schäden, die durch Cyberangriffe verursacht werden. Dazu gehört auch, dass HZI nicht auf geforderte Lösegelder reagiert und diese nicht bezahlt.
6. Verantwortungsvolle Offenlegung
Wir bitten Sie darum:
1. sich nach bestem Wissen und Gewissen bemühen, Verletzungen des Datenschutzes, die Zerstörung von Daten und die Unterbrechung oder Beeinträchtigung unserer Dienste zu vermeiden.
2. Verzichten Sie auf die Veröffentlichung der Schwachstelle, bis wir eine angemessene Gelegenheit hatten, sie zu untersuchen und zu beheben.
3. Nutzen Sie die Schwachstelle nicht zu einem anderen Zweck als der Meldung an uns.
4. Geben Sie uns einen angemessenen Zeitrahmen, um die Schwachstelle zu beheben, bevor sie veröffentlicht wird.
7. Haftungsausschluss
Diese Richtlinie kann ohne vorherige Ankündigung geändert werden. Mit der Übermittlung eines Schwachstellenberichts erkennen Sie die Bedingungen dieser Richtlinie an und stimmen ihnen zu.
8. Kontakt
Wenn Sie Fragen zu dieser Richtlinie haben, kontaktieren Sie uns bitte.
