top of page
Leitart - Daten in Aktion | BI Partner | Qlik Partner

Vulnerability Disclosure Policy

Einleitung

Die LeitArt Gesellschaft für Mittelstandskybernetik mbH begrüßt Rückmeldungen von Sicherheitsforschern und der Öffentlichkeit, um unsere Sicherheit kontinuierlich zu verbessern.
Wenn Sie glauben, eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Systeme entdeckt zu haben, möchten wir davon erfahren.
Diese Richtlinie beschreibt, wie Sie Schwachstellen an uns melden können, was wir von Ihnen erwarten und was Sie von uns erwarten können.

Systeme im Geltungsbereich

Diese Richtlinie gilt für alle digitalen Systeme und Assets, die von der LeitArt Gesellschaft für Mittelstandskybernetik mbH betrieben, verwaltet oder kontrolliert werden.

Außerhalb des Geltungsbereichs

Nicht von LeitArt betriebene Systeme oder Geräte sind nicht Teil dieser Richtlinie.
Entdeckte oder vermutete Schwachstellen in Systemen außerhalb des Geltungsbereichs sollten direkt an den jeweiligen Anbieter oder die zuständige Behörde gemeldet werden.

Unsere Zusagen

Wenn Sie mit uns gemäß dieser Richtlinie zusammenarbeiten, können Sie Folgendes erwarten:

  • Wir reagieren zeitnah auf Ihre Meldung und arbeiten mit Ihnen zusammen, um diese zu verstehen und zu validieren.

  • Wir halten Sie über den Fortschritt der Bearbeitung auf dem Laufenden.

  • Wir bemühen uns, entdeckte Schwachstellen innerhalb unserer betrieblichen Möglichkeiten zeitnah zu beheben.

  • Wir gewähren Safe Harbor für Ihre Sicherheitsforschung im Rahmen dieser Richtlinie.

Unsere Erwartungen

Von Teilnehmern an unserem Vulnerability-Disclosure-Programm erwarten wir:

  • Befolgen Sie die Regeln, insbesondere diese Richtlinie und alle relevanten Vereinbarungen. Sollte es Widersprüche geben, hat diese Richtlinie Vorrang.

  • Melden Sie entdeckte Schwachstellen zeitnah.

  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen, Systeme zu stören, Daten zu zerstören oder die Nutzererfahrung zu beeinträchtigen.

  • Nutzen Sie ausschließlich die offiziellen Meldekanäle, um Schwachstellen mit uns zu besprechen.

  • Gewähren Sie uns einen angemessenen Zeitraum (mindestens 60 Tage ab Erstmeldung), um die Schwachstelle zu beheben, bevor Sie diese öffentlich machen.

  • Führen Sie Tests nur an Systemen im Geltungsbereich durch und respektieren Sie Systeme und Aktivitäten außerhalb des Geltungsbereichs.

  • Falls eine Schwachstelle ungewollten Zugriff auf Daten ermöglicht:

    • Beschränken Sie den Datenzugriff auf das Minimum, das für einen Proof-of-Concept notwendig ist.

    • Stellen Sie Tests sofort ein und melden Sie den Vorfall umgehend, wenn Sie auf Nutzerdaten wie personenbezogene Daten (PII), Gesundheitsdaten (PHI), Kreditkartendaten oder proprietäre Informationen stoßen.

  • Arbeiten Sie ausschließlich mit Test-Accounts, die Ihnen gehören oder für die Sie explizite Erlaubnis des Kontoinhabers haben.

  • Unterlassen Sie jegliche Form von Erpressung.

Offizielle Meldekanäle

Bitte melden Sie Sicherheitsprobleme ausschließlich über folgende Adresse:
security@leitart.de
Je mehr Details Sie bereitstellen, desto einfacher können wir den Vorfall prüfen und beheben.

Safe Harbor

Wenn Sie Sicherheitsforschung im Rahmen dieser Richtlinie betreiben, betrachten wir diese als:

  • Autorisiert im Hinblick auf geltende Anti-Hacking-Gesetze – wir werden keine rechtlichen Schritte gegen Sie einleiten oder unterstützen, solange es sich um versehentliche, gutgläubige Handlungen handelt.

  • Autorisiert im Hinblick auf Anti-Umgehungsgesetze – wir werden keine Ansprüche wegen Umgehung technischer Schutzmaßnahmen geltend machen.

  • Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen (TOS) oder Richtlinien zur akzeptablen Nutzung (AUP), soweit diese die Sicherheitsforschung behindern würden – wir verzichten insoweit auf diese Einschränkungen.

  • Rechtmäßig, nützlich und im guten Glauben durchgeführt – im Interesse der allgemeinen Sicherheit des Internets.

Sie müssen selbstverständlich weiterhin alle anwendbaren Gesetze einhalten.
Sollte ein Dritter rechtliche Schritte gegen Sie einleiten und Sie haben sich an diese Richtlinie gehalten, werden wir uns bemühen klarzustellen, dass Ihr Handeln im Einklang mit dieser Policy erfolgte.

Falls Sie sich unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie vereinbar ist, wenden Sie sich bitte vorab über einen offiziellen Kanal an uns.

Hinweis: Safe Harbor gilt nur für rechtliche Ansprüche, die unter die Kontrolle der LeitArt Gesellschaft für Mittelstandskybernetik mbH fallen. Diese Richtlinie bindet keine unabhängigen Dritten.

bottom of page