Vulnerability Disclosure Policy

Sollten Sie Schwachstellen in IT-Systemen von Groz-Beckert oder einer der Tochterfirmen finden, bitten wir Sie, diese uns zu melden.
Wir werden umgehend Maßnahmen ergreifen, um diese schnellstmöglich zu beseitigen.

Die Vulnerability Disclosure Policy von Groz-Beckert darf nicht ohne Einwilligung dazu verwendet werden, um in Programmen Dritter Schwachstellenmeldungen aufzubereiten oder weiter zu vermitteln.

Vorgehensweise

  • Bevor Sie eine Meldung an uns senden, überprüfen Sie bitte zunächst, ob diese in den Geltungsbereich fallen. (Informationen zum Geltungsbereich finden Sie weiter unten)
  • Füllen Sie das Formular am Ende der Seite aus oder senden Sie Ihre Ergebnisse zur gefundenen Schwachstelle per E-Mail an bugs@groz-beckert.com
    • Verschlüsseln Sie Ihre Dokumentation mit unserem PGP-Schlüssel, damit diese sensiblen Informationen nicht in die falschen Hände geraten. Den aktuellen Schlüssel finden Sie unter PGP Schlüssel - ZIP, 0,00 MB
    • Um die Kommunikation zwischen Ihnen und uns möglichst einfach zu gestalten, verwenden Sie die Formatvorgaben oder das Formular am Ende der Seite

Berücksichtigen Sie bitte folgende Hinweise / Regelungen

  • Die Schwachstelle darf nicht aktiv ausgenutzt werden, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen.
  • Informationen über die Schwachstelle dürfen nicht an dritte Personen oder Institutionen weitergegeben werden, außer dies wurde durch die Groz-Beckert KG, Bereich Informationssicherheit, freigegeben.
  • Angriffe auf unsere IT-Systeme, die Infrastruktur und/oder Personen kompromittieren, verändern oder manipulieren, dürfen nicht durchgeführt werden.
  • Ebenfalls dürfen keine Social-Engineering, Phishing, (Distributed) Denial of Service oder andere Angriffe auf die Groz-Beckert KG und deren Tochtergesellschaften durchgeführt werden.
  • Bitte stellen Sie uns ausreichend Informationen zur Verfügung, damit das Problem reproduziert und analysiert werden kann.
    Geben Sie bitte auch eine Kontaktmöglichkeit für Rückfragen an.
  • In der Regel genügt die Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle. Bei komplexen Schwachstellen bedarf es weitere Erklärungen und Dokumentation.
  • Sollte es sich bei dem betroffenen System um einen in der Cloud gehosteten Service handeln, so sind auch die möglichen Vorgaben der jeweiligen Cloudanbieter zu beachten.

Unser Versprechen

  • Unser Ziel ist es, die Schwachstelle schnellstmöglich zu beheben.
  • Wir geben Ihnen eine Rückmeldung auf die von Ihnen gemeldete Schwachstelle und den Bericht.
  • Während der Bearbeitung der Schwachstellen werden Sie ebenfalls über die Validität und Behebung informiert.
  • Ihr Bericht sowie Ihre personenbezogenen Daten werden vertraulich behandelt. Ohne eine Zustimmung Ihrerseits erfolgt keine Weitergabe an Dritte.
  • Wir informieren keine Strafverfolgungsbehörden über Ihre Erkenntnisse, sofern Sie sich an die Anweisungen halten. Sind klare kriminelle oder nachrichtendienstliche Absichten erkennbar, werden rechtliche Schritte eingeleitet.

Schwachstellen im Geltungsbereich

Typische Beispiele sind:

  • Cross Site Request Forgery (CSRF)
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE)
  • Information Leakage and Improper Error Handling
  • Unbefugter Zugriff auf Systeme, Services, Datenbanken oder Konten
  • uvm.

Dazu gehören auch:

  • Daten-/Informations-Leaks
  • Möglichkeit der Exfiltration von Daten / Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten System-Nutzung
  • Fehlkonfigurationen
  • Veraltete Softwareprodukte mit kritischen Schwachstellen

Schwachstellen außerhalb des Geltungsbereichs

Die folgenden Schwachstellen fallen nicht in den Geltungsbereich der Vulnerability-Disclosure-Policy von Groz-Beckert:

  • Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
  • Formulare mit fehlenden CSRF-Token (Ausnahme: Die Kritikalität übersteigt das Common Vulnerability Scoring System (CVSS) Stufe 5.).
  • Fehlende Sicherheits-Header, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
  • Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
  • Social Engineering gegen Personen oder Einrichtungen der Groz-Beckert KG oder einer der Tochterfirmen
  • Denial of Service Angriffe (DoS/DDoS (Distributed Denial of Service)).
  • Bots, SPAM, Massenregistrierung.
  • Keine Einreichung von Best Practices (z.B. certificate pinning, security header).
  • Verwendung von anfälligen und „schwachen“ Cipher-Suites / Chiffren.

Formatvorgaben für die Meldung von Schwachstellen

Anmerkung für die Einreichung von Meldungen: Schwachstellen können grundsätzlich sowohl in deutscher als auch in englischer Sprache eingereicht werden.

Bitte verwenden Sie das Formular am Ende dieser Seite oder folgende Gliederung

  • Bezeichnung der Schwachstelle
  • Schwachstellentypus
  • Kurzerklärung der Schwachstelle (keine technischen Details)
  • Betroffenes Produkt / Dienst / IT-System / Gerät
    • Hersteller
    • Produkt
    • Version / Modell
  • Exploitationtechnik
    • Remote
    • Local
    • Netzwerk
    • Physisch
  • Authentication-Typ
    • Pre-Auth
    • Benutzer-Privilegien (Keine / User / Admin)
  • Benutzerinteraktion
    • Keine Interaktion notwendig
    • Benutzerinteraktion notwendig
  • Technische Details und Beschreibung der Schwachstelle
  • Proof of Concept
  • Aufzeigen einer Lösungsmöglichkeit
  • Autor und Kontaktdaten

Schwachstellenmeldung

Betroffenes Produkt

Exploitation Technik *

Authentifizierungsart *

Benutzerinteraktion *

* Pflichtfelder