Responsible Disclosure Reporting

Wir stehen für eine verantwortungsvolle IT-Sicherheitspolitik. Als IT-Sicherheits- und Beratungsunternehmen streben wir ganz besonders nach IT-Sicherheit, doch können auch unsere IT-Systeme und verwendete Tools Schwachstellen enthalten, welche uns bisher unbekannt waren. Wir sind stets daran interessiert diese eigenen Schwächen zu kennen.

Wenn Sie in einem unserer Systeme eine Lücke gefunden haben, möchten wir Sie bitten uns dies mitzuteilen, damit wir notwendigen Maßnahmen so schnell wie möglich ergreifen können.

Um einen verantwortungsvollen Umgang mit unseren Schwachstellen zu gewährleisten, möchten wir Sie bitten uns eine verschlüsselte Email an pgp (at) inmodis.de (pgp-key) mit allen notwendigen Informationen:

  • Betroffenes System
  • IP Adresse
  • Art der Schwachstelle
  • Informationen zur Reproduzierbarkeit
  • Kontaktinformationen (Email oder Telefon)

zu senden.

 

Dringend zu vermeiden sind hierbei:

  • unverschlüsselte Emails
  • das weitere Ausnutzen der Schwachstelle
  • das Installieren von Schadcode
  • Manipulationen an den Datensätzen
  • den Austausch über die Schwachstelle mit anderen
  • Angriffe jeglicher Art (z.B. Brute Force, DoS, Social Engineering)
  • die Verwendung als Pivot-Punkt.

 

Was können Sie als Gegenleistung erwarten, wenn Sie sich an die oben genannten Punkte gehalten haben:

  • keine rechtlichen Konsequenzen seitens Inmodis
  • wir behandeln Ihren Bericht vertraulich und veröffentlichen keine Informationen über Sie soweit nicht von Ihnen genehmigt – Ausnahmen bilden gerichtliche Beschlüsse
  • wir werden Ihnen innerhalb einer Woche eine Eingangsbestätigung zukommen lassen und den Bericht auswerten
  • und spätestens 3 Tage nach Eingangsbestätigung, einen möglichen Termin für die Lösung vorstellen
  • wir versuchen das Problem so schnell wie möglich zu beheben, spätestens jedoch innerhalb von 60 Tagen