Informationspolitik

Letzte Aktualisierung: März 27, 2015

Dieses Dokument beschreibt die Onapsis-Richtlinie zur Offenlegung von Sicherheitslücken, die als allgemeine Richtlinie für den Prozess der Offenlegung von Sicherheitslücken verwendet wird, die von den Onapsis Research Labs in Form einer Sicherheitsempfehlung entdeckt wurden.

Es liegt im Interesse von Onapsis, zur kontinuierlichen Verbesserung des Sicherheitsniveaus der von seinen Kunden verwendeten Unternehmenssoftware beizutragen. Daher halten wir es für wichtig, ein klares Verfahren festzulegen, das von den beteiligten Parteien befolgt werden sollte, um Risiken zu minimieren und eine ganzheitliche Lösung für Sicherheitsvorbehalte bereitzustellen.

Basierend auf jahrelanger Erfahrung in der Branche sind wir fest davon überzeugt, dass diese Maßnahmen das beste Gleichgewicht für alle Beteiligten bieten: Anbieter, Kunden und die allgemeine Gemeinschaft.

Allgemeines Verfahren

Bei Entdeckung einer neuen Sicherheitslücke wird wie folgt vorgegangen:

1) Onapsis sendet eine E-Mail an den öffentlich zugänglichen Sicherheits-E-Mail-Kontakt des Anbieters, in der er darüber informiert, dass eine neue Schwachstelle entdeckt wurde, und fordert einen PGP/GPG-Schlüssel an, um die detaillierten Informationen verschlüsselt zu senden.

  • Stellt der Anbieter keinen PGP/GPG-Schlüssel zur Verfügung, erfolgt die Übermittlung der Informationen unverschlüsselt auf Gefahr des Anbieters. Onapsis übernimmt keine Verantwortung für die eventuelle Offenlegung der Schwachstelleninformationen aufgrund der Nutzung ungeschützter Kommunikationskanäle.
  • Für den Fall, dass der Anbieter nicht auf die ursprüngliche Kontaktaufnahme antwortet, unternimmt Onapsis zwei weitere Kontaktversuche und bemüht sich dabei bestmöglich, über verschiedene Kanäle (z. B. Online-Formulare usw.) mit dem Anbieter zu kommunizieren. Werden diese Kontakte ebenfalls missachtet, wird der Sicherheitshinweis veröffentlicht.

2) Onapsis sendet ein Dokument zur Einreichung einer Sicherheitslücke an den Anbieter, das die technischen Informationen zur Schwachstelle enthält. Dieses Dokument enthält einen Verweis auf diese Richtlinie und ein voreingestelltes Offenlegungsdatum, das normalerweise auf 21 Tage später festgelegt ist.

  • Falls der Anbieter nicht bis zum vorgegebenen Datum auf die Einreichung antwortet, wird der Sicherheitshinweis veröffentlicht.

3) Nach erfolgreicher Bestätigung des Empfangs und der Analyse der Schwachstelle muss der Anbieter Onapsis ein voraussichtliches Veröffentlichungsdatum für die Lösung mitteilen, das nicht länger als 45 Tage liegen sollte. Onapsis wird den Namen der Sicherheitslücke und das voraussichtliche Veröffentlichungsdatum im Abschnitt „Kommende Hinweise“ seiner Website veröffentlichen.

4) Während die Lösung entwickelt wird, steht Onapsis dem Anbieter für weitere Informationen oder spezielle Unterstützung zur Verfügung, um die damit verbundenen Risiken besser zu verstehen und zur Entwicklung einer umfassenden Lösung beizutragen. In diesem Prozess erwartet Onapsis vom Anbieter, dass er regelmäßig über den Status des Falls informiert.

  • Falls der Anbieter keine Statusaktualisierungen bereitstellt, sendet Onapsis einmal im Monat eine Statusanfrage. Wenn der Anbieter nach 14 Tagen nicht auf die anfängliche Statusanfrage antwortet, wird eine zusätzliche Anfrage gesendet. Erfolgt auf diese zweite Anfrage innerhalb von 14 Tagen keine Antwort, wird der Sicherheitshinweis veröffentlicht.

Schließlich wird Onapsis den Sicherheitshinweis mit den Informationen zur Schwachstelle veröffentlichen, wenn eine der folgenden Situationen eintritt:

  • Der voreingestellte/vereinbarte Offenlegungstermin ist erreicht.
  • Der Anbieter veröffentlicht eine Sicherheitsempfehlung/-lösung für seine Kunden und/oder die breite Öffentlichkeit.
  • Die Informationen zur Sicherheitslücke werden von einem Dritten veröffentlicht.
  • Seit dem ursprünglichen Kontakt sind mehr als 12 Monate vergangen.