Vulnerability Disclosure Policy des Instituts für innovative Sicherheit der Hochschule Augsburg (HSA_innos)

Als Experten in den Bereichen der industriellen Sicherheit und der IT-Sicherheit ist es uns ein dringendes Anliegen, dass Sicherheitsprobleme in Produkten und Systemen zeitnah behoben werden. Deshalb folgen wir bei der Offenlegung von Schwachstellen einem verantwortungsvollen Prozess, auch Responsible Disclosure genannt.

Wie unser Prozess bei der Kommunikation von entdeckten Schwachstellen aussieht, beschreiben wir detailliert in dieser Disclosure Policy.

So melden wir Ihnen eine Schwachstelle

Finden wir eine oder mehrere Schwachstellen, treten wir mit dem betroffenen Unternehmen via E-Mail in Kontakt. Sollte diese initiale Kontaktaufnahme unbeantwortet bleiben, erfolgt ein weiterer Kommunikationsversuch binnen 7 Kalendertagen. 

Das betroffene Unternehmen informieren wir in Form eines Vulnerability Reports über die Schwachstellen, die wir in ihren Produkten und Systemen entdeckt haben. Dieser Bericht beinhaltet Informationen zu den Schwachstellen, zu deren Ausnutzbarkeit und eine erste Einschätzung zur Kritikalität des Sicherheitsproblems.

Wir stehen während dem darauffolgenden Prozess der Schwachstellenbehebung für Rückfragen zur Verfügung und erwarten regelmäßige Updates zum aktuellen Status der Bearbeitung.

Das erwarten wir von Ihnen

Wir legen Wert darauf im Zusammenhang mit dem Sicherheitsproblem als Entdecker der Schwachstelle genannt zu werden und bestehen auf eine Veröffentlichung der Schwachstelle zum Ende des Disclosure-Prozesses, beispielsweise via CVE (Common Vulnerabilities and Exposures, http://cve.mitre.org/) oder durch ein öffentlich zugängliches Security Advisory.

Wir behalten uns vor, zum Abschluss des Responsible-Disclosure-Prozesses ein eigenes Security Advisory zu veröffentlichen, welches die Schwachstelle detailliert beschreibt, sowie ggf. Proof-of-Concept Quellcode zur Schwachstelle bereitzustellen.

Zudem behalten wir uns das Recht vor, Informationen zu den Schwachstellen zu veröffentlichen, sollte eines der folgenden Szenarien eintreten:

1. Wir erhalten binnen 14 Kalendertagen keine oder keine konstruktiv zur Lösung der Schwachstelle beitragende Antwort auf den übermittelten Vulnerability Report.
2. Das betroffene Unternehmen stellt Nutzer:innen/Kund:innen innerhalb der Frist von 90 Kalendertagen keinen Security Patch und kein Security Advisory zur Behebung der Schwachstelle bereit. Wir sind ggf. bereit diese Frist zu verlängern, falls der Mehraufwand für das Erstellen und Testen eines Security Updates sachlich begründet werden kann und die aktive Bearbeitung der Problematik für uns klar ersichtlich ist.
3. Die regelmäßige Kommunikation von Status-Updates während des Responsible Disclosure Prozesses bleibt aus.
4. Es stellt sich heraus, dass die Schwachstelle bereits aktiv bei im Feld befindlichen Produkten/Systemen ausgenutzt wird. In diesem Fall werden technische Details zur Schwachstelle und mögliche Mitigationsmaßnahmen 7 Kalendertage nach der ersten Kontaktaufnahme mit dem Unternehmen veröffentlicht, um betroffenen Nutzer:innen/Kund:innen eine zeitnahe Reaktion zu ermöglichen.