Selbst in gut getesteten Anwendungen kann eine Schwachstelle auftreten. Die Behebung solcher Schwachstellen hat für uns eine hohe Priorität und wir freuen uns immer, wenn jemand sich die Zeit nimmt und uns über verifizierte oder potentielle Schwachstellen informiert.
Vorgehen bei einer Meldung
In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend. Eine Kontaktadresse sowie einen PGP-Schlüssel finden Sie in unserer security.txt unter https://www.berlin.de/.well-known/security.txt
Eine verschlüsselte Mail ist wünschenswert, aber nicht verpflichtend. Weiterhin gilt:
Beachten Sie bitte den Geltungsbereich (nur genannte Webseiten) und nicht qualifizierte Schwachstellen (kein Social-Engineering, DDoS u.a.)
Nutzen Sie die Schwachstelle oder das Problem nicht aus. Laden Sie beispielsweise nicht unberechtigt Daten herunter oder hoch und verändern bzw. löschen Sie keine Daten. Laden Sie keinen Code hoch.
Geben Sie Informationen über die Schwachstelle nicht an Dritte weiter, außer dies wurde durch uns schriftlich freigegeben.
Stellen Sie uns ausreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können (URL-Bereich, Zeitpunkt, Daten zur Reproduktion, ggf. User-Agent oder ähnliches).
Stellen Sie bitte auch eine Kontaktmöglichkeit für Rückfragen bereit.
Geben Sie bitte an, ob wir ggf. ihre Kontaktdaten an Dritte für Nachfragen zur Behebung weitergeben dürfen. Dieser Fall tritt ein, wenn Systeme außerhalb unserer Kontrolle beteiligt sind.
Haben Sie Nachsicht mit uns, wenn wir nicht unverzüglich reagieren können.
Was wir versprechen
Wir werden bei einer verantwortungsbewussten Offenlegung einer Schwachstelle (Responsible Disclosure) keinen Rechtsweg einschlagen. Handeln Sie gemäß den oben genannten Vorgaben, werden Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt wurden.
Sie erhalten von uns eine Rückmeldung zum Eingang Ihrer Meldung, den Zeitraum der Bearbeitung und über die Behebung des Problems. (Bitte SPAM-Ordner beachten)
Wir versuchen, die Schwachstelle so schnell wie möglich zu schließen.
Wir prüfen, ob wir das Problem angehen können oder ob Dritte involviert werden müssen.
Wir werden Ihren Bericht und Ihre personenbezogenen Daten (wie zum Beispiel eine IP-Adresse) vertraulich behandeln und nur weitergeben, insofern es für die Behebung der Schwachstelle notwendig ist.
Wir werden auf einer Dankesseite die Beschreibung der geschlossenen Schwachstelle und falls gewünscht auch einen Namen oder Alias veröffentlichen. Wir wollen so eine gute Zusammenarbeit zum Ausdruck bringen. Gerne können Sie nach dieser Veröffentlichung auch selber über das Finden der Schwachstelle berichten.
Geltungsbereich
Für die folgenden Webseiten können Schwachstellen gemeldet werden:
Nicht alle Bereiche und Subdomains befinden sich in unserer Verantwortung und Kontrolle. Sind Dienste von Dritten betroffen, können wir Sie nicht autorisieren, diese Systeme zu testen. Im Zweifelsfall fragen Sie uns, bevor Sie einen Bereich testen oder richten sich nach einer spezifischeren security.txt.
Nicht-qualifizierte Schwachstellen
Ergebnisse von automatisierten Tools müssen erklärt werden und eine relevante Schwachstelle darstellen (bitte nur Reports zu Schwachstellen, die man selbst zu 100% versteht)
Keine Verletzung der Privatsphäre von Mitarbeitenden und Beteiligten.
Kein Social Engineering oder Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzenden erfordern, sind nicht erlaubt
Keine Durchführung eines DDoS (das gilt auch für automatisierte Tools, die zu viele Zugriffe pro Sekunde durchführen)
Keine Massen-Registrierung oder Massen-Versendung von Kontakt-Formularen
Kein SPAM
Bots richten sich bitte nach den Regeln in der robots.txt
