Offenlegungspolitik

Zuletzt aktualisiert: 27. März 2015

Dieses Dokument beschreibt die Richtlinie zur Offenlegung von Sicherheitslücken bei Onapsis, die als allgemeine Leitlinie für die Offenlegung von Sicherheitslücken dient, die von den Onapsis Research Labs entdeckt wurden, und zwar Onapsis Research Labs Form eines Sicherheitshinweises.

Es liegt im Interesse von Onapsis, zur kontinuierlichen Verbesserung des Sicherheitsniveaus der von seinen Kunden genutzten Unternehmenssoftware beizutragen. Daher halten wir es für wichtig, ein klares Verfahren festzulegen, das von den beteiligten Parteien befolgt werden sollte, um Risiken zu minimieren und eine ganzheitliche Lösung für Sicherheitsprobleme zu bieten.

Aufgrund unserer langjährigen Erfahrung in der Branche sind wir fest davon überzeugt, dass diese Maßnahmen das beste Gleichgewicht für alle Beteiligten bieten: Anbieter, Kunden und die Allgemeinheit.

Allgemeiner Ablauf

Wird eine neue Sicherheitslücke entdeckt, wird das folgende Verfahren eingeleitet:

1) Onapsis sendet eine E-Mail an die öffentlich zugängliche Sicherheits-E-Mail-Adresse des Anbieters, in der mitgeteilt wird, dass eine neue Sicherheitslücke entdeckt wurde, und bittet um einen PGP/GPG-Schlüssel, um die detaillierten Informationen verschlüsselt zu übermitteln.

  • Falls der Anbieter keinen PGP-/GPG-Schlüssel bereitstellt, werden die Informationen unverschlüsselt und auf Risiko des Anbieters übermittelt. Onapsis übernimmt keine Verantwortung für eine eventuelle Offenlegung der Informationen zur Sicherheitslücke, die durch die Nutzung ungeschützter Kommunikationskanäle verursacht wird.
  • Falls der Anbieter auf die erste Kontaktaufnahme nicht reagiert, unternimmt Onapsis zwei weitere Kontaktversuche und bemüht sich nach Kräften, über verschiedene Kanäle (z. B. Online-Formulare usw.) mit dem Anbieter in Kontakt zu treten. Werden auch diese Kontaktversuche ignoriert, wird die Sicherheitsempfehlung veröffentlicht.

2) Onapsis sendet dem Anbieter ein Dokument zur Meldung der Sicherheitslücke, das die technischen Informationen zur Sicherheitslücke enthält. Dieses Dokument enthält einen Verweis auf diese Richtlinie sowie ein festgelegtes Veröffentlichungsdatum, das in der Regel auf 21 Tage später festgelegt ist.

  • Falls der Anbieter nicht bis zum festgelegten Termin auf die Meldung reagiert, wird die Sicherheitsempfehlung veröffentlicht.

3) Nach erfolgreicher Bestätigung des Eingangs und der Analyse der Sicherheitslücke muss der Anbieter Onapsis einen voraussichtlichen Termin für die Veröffentlichung der Lösung mitteilen, der nicht später als 45 Tage liegen darf. Onapsis wird den Namen der Sicherheitslücke und den voraussichtlichen Veröffentlichungstermin im Bereich „Upcoming Advisories“ auf seiner Website veröffentlichen.

4) Während der Entwicklung der Lösung steht Onapsis dem Anbieter für weitere Informationen oder fachliche Unterstützung zur Verfügung, um die damit verbundenen Risiken besser zu verstehen und zur Entwicklung einer umfassenden Lösung beizutragen. In diesem Prozess erwartet Onapsis vom Anbieter regelmäßige Updates zum Stand des Falls.

  • Falls der Anbieter keine Statusaktualisierungen bereitstellt, versendet Onapsis einmal monatlich eine Statusabfrage. Wenn der Anbieter nicht innerhalb von 14 Tagen auf die erste Statusabfrage antwortet, wird eine weitere Anfrage versendet. Ist auch auf diese zweite Anfrage innerhalb von 14 Tagen keine Antwort eingegangen, wird die Sicherheitsempfehlung veröffentlicht.

Onapsis wird den Sicherheitshinweis mit den Informationen zur Sicherheitslücke veröffentlichen, sobald eine der folgenden Situationen eintritt:

  • Der festgelegte bzw. vereinbarte Veröffentlichungstermin ist erreicht.
  • Der Anbieter veröffentlicht eine Sicherheitsempfehlung bzw. eine Lösung für seine Kunden und/oder die breite Öffentlichkeit.
  • Die Informationen zu dieser Sicherheitslücke werden von einem Dritten veröffentlicht.
  • Seit der ersten Kontaktaufnahme sind mehr als 12 Monate vergangen.