Sicherheitslücken

# Richtlinie zur verantwortungsvollen Offenlegung von Sicherheitslücken

Die WeSendit Media AG legt höchsten Wert auf die Sicherheit ihrer Systeme, Anwendungen und der verarbeiteten Daten. Trotz angemessener technischer und organisatorischer Sicherheitsmassnahmen kann nicht ausgeschlossen werden, dass Schwachstellen auftreten.

Diese Richtlinie regelt, wie Sicherheitslücken gemeldet werden können und unter welchen Bedingungen WeSendit eine verantwortungsvolle Offenlegung unterstützt.

1. Zweck dieser Richtlinie

Ziel dieser Richtlinie ist es, Sicherheitsforschern, IT-Experten und Dritten einen klaren Rahmen zu geben, innerhalb dessen potenzielle Sicherheitslücken rechtssicher gemeldet werden können.

WeSendit verfolgt das Prinzip der koordinierten Offenlegung. Sicherheitslücken sollen zunächst vertraulich gemeldet werden, damit eine Behebung erfolgen kann, bevor eine öffentliche Bekanntmachung in Betracht gezogen wird.

Diese Richtlinie gilt für alle digitalen Dienste, Systeme und digitale owned Medias der WeSendit Media AG, insbesondere:

• WeSendit.com und zugehörige Subdomains
• WeSendit.Community
• APIs
• interne Plattformdienste

Nicht erfasst sind Systeme oder Dienste von Drittanbietern, auch wenn diese technisch eingebunden sind. Für diese gelten die jeweiligen Sicherheits- und Offenlegungsrichtlinien der Drittanbieter.

Sicherheitslücken sind ausschliesslich über die von WeSendit bereitgestellte offizielle Kontaktstelle zu melden.

Die Meldung sollte folgende Angaben enthalten:

• eine detaillierte Beschreibung der Schwachstelle
• die betroffenen Systeme oder URLs
• eine nachvollziehbare Anleitung zur Reproduktion
• gegebenenfalls technische Nachweise oder Proof-of-Concept

Von einer öffentlichen Offenlegung oder Weitergabe an Dritte ist bis zur Behebung der Schwachstelle oder ausdrücklichen Zustimmung durch WeSendit abzusehen.

Personen, die Sicherheitslücken untersuchen oder melden, verpflichten sich:

• ausschliesslich in gutem Glauben zu handeln
• keine Daten unbefugt zu verändern, zu löschen oder zu manipulieren
• keinen Zugriff auf Daten vorzunehmen, die nicht für den Nachweis der Schwachstelle erforderlich sind
• keine Systeme vorsätzlich zu überlasten oder zu beeinträchtigen
• keine Social-Engineering- oder physische Angriffsmethoden anzuwenden

Tests sind auf das notwendige Minimum zu beschränken, um die Existenz der Schwachstelle zu belegen.

Das Ausnutzen einer Sicherheitslücke oder deren öffentliche Veröffentlichung ohne vorherige Abstimmung stellt eine unzulässige Handlung dar.

Nach Eingang einer Meldung wird WeSendit:

• den Eingang bestätigen,
• die gemeldete Schwachstelle prüfen,
• eine Risikobewertung vornehmen,
• angemessene technische und organisatorische Massnahmen ergreifen.

WeSendit ist bemüht, Meldungen zeitnah zu bearbeiten, übernimmt jedoch keine Verpflichtung zur Einhaltung bestimmter Fristen.

Eine koordinierte Veröffentlichung nach Behebung kann im Einvernehmen mit der meldenden Person erfolgen.

Sofern eine Sicherheitslücke in Übereinstimmung mit dieser Richtlinie und in gutem Glauben gemeldet wird, wird WeSendit von rechtlichen Schritten im Zusammenhang mit der Meldung selbst absehen.

Diese Zusicherung gilt nicht, wenn:

• Sicherheitslücken missbräuchlich ausgenutzt wurden
• Daten unbefugt erlangt oder veröffentlicht wurden
• Systeme vorsätzlich beeinträchtigt wurden
• sonstige gesetzeswidrige Handlungen vorgenommen wurden

Diese Richtlinie begründet keinen Anspruch auf finanzielle Vergütung oder sonstige Gegenleistung, sofern kein gesondertes Programm besteht.

WeSendit übernimmt keine Haftung für Schäden, die im Rahmen eigenständiger Tests oder Sicherheitsprüfungen entstehen, sofern diese ausserhalb der hier definierten zulässigen Handlungen erfolgen.