Vulnerability Disclosure Policy

Wir fliegen auf Sicherheit

Auch in gründlich getesteten Anwendungen können Schwachstellen auftreten. Die Beseitigung solcher Schwachstellen hat bei uns höchste Priorität, und wir schätzen es sehr, wenn jemand die Initiative ergreift und uns über entdeckte oder potenzielle Sicherheitslücken informiert.

Vorgehen bei einer Meldung:

Normalerweise sind die Adresse oder URL des betroffenen Systems sowie eine detaillierte Beschreibung der Schwachstelle ausreichend. Es wird eine verschlüsselte E-Mail empfohlen, ist jedoch nicht zwingend erforderlich. Weitere wichtige Hinweise:

  • Bitte beachten Sie den Geltungsbereich (nur angegebene Webseiten) und melden Sie keine nicht qualifizierten Schwachstellen (z.B. Social Engineering, DDoS-Angriffe, etc.).
  • Nutzen Sie die Schwachstelle oder das Problem nicht aus. Verzichten Sie darauf, unautorisiert Daten herunter- oder hochzuladen sowie Daten zu verändern oder zu löschen. Auch das Hochladen von Code ist nicht gestattet.
  • Geben Sie Informationen über die Schwachstelle nicht an Dritte weiter, es sei denn, wir haben dies ausdrücklich schriftlich genehmigt.
  • Stellen Sie ausreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und untersuchen können (z.B. URL-Bereich, Zeitpunkt, Reproduktionsdaten, ggf. User-Agent).
  • Bitte hinterlassen Sie eine Kontaktmöglichkeit für eventuelle Rückfragen.
  • Geben Sie an, ob wir Ihre Kontaktdaten im Bedarfsfall an Dritte weitergeben dürfen, um die Schwachstelle zu beheben, wenn Systeme außerhalb unserer Kontrolle involviert sind.
  • Haben Sie Verständnis, falls wir nicht sofort reagieren können. Wir bemühen uns, Sie so schnell wie möglich zu kontaktieren und Sie über den Stand Ihrer Meldung zu informieren.

Für die Meldung von Schwachstellen oder Fragen erreichen Sie uns unter: it.security@mdf-ag.com
Bitte beachten Sie hierfür unser Hinweise zum Datenschutz, insbesondere den Reiter „Kontaktaufnahme per E-Mail oder Kontaktformular“.

Was wir versprechen:

  • Wir werden im Falle einer verantwortungsvollen Offenlegung einer Schwachstelle (Responsible Disclosure) keine rechtlichen Schritte einleiten. Wenn Sie die oben genannten Vorgaben einhalten, werden Strafverfolgungsbehörden in Bezug auf Ihre Entdeckung nicht informiert, es sei denn, es liegen kriminelle oder nachrichtendienstliche Absichten vor.
  • Sie erhalten eine Bestätigung über den Eingang Ihrer Meldung, den Bearbeitungszeitraum sowie Informationen zur Behebung des Problems (bitte auch den SPAM-Ordner überprüfen).
  • Wir bemühen uns, die Schwachstelle so schnell wie möglich zu beheben.
  • Wir prüfen, ob wir das Problem selbst angehen können oder ob die Unterstützung von Dritten erforderlich ist.
  • Wir behandeln Ihren Bericht sowie Ihre personenbezogenen Daten (z.B. IP-Adresse) vertraulich und geben diese nur weiter, wenn es für die Behebung der Schwachstelle notwendig ist.
  • Auf einer Dankesseite veröffentlichen wir die Beschreibung der behobenen Schwachstelle und, wenn gewünscht, auch einen Namen oder Alias. Damit möchten wir unsere gute Zusammenarbeit würdigen. Sie können nach der Veröffentlichung auch selbst über die Entdeckung der Schwachstelle berichten.

Geltungsbereich:

Schwachstellen können für die folgenden Webseiten gemeldet werden:

  • mdf-ag.com
  • portground.com
  • leipzig-halle-airport.de
  • dresden-airport.de

Bitte beachten Sie, dass nicht alle Bereiche und Subdomains unter unserer Kontrolle stehen. Wenn Dienste von Dritten betroffen sind, haben Sie keine Befugnis, diese Systeme zu testen. Wenn Sie unsicher sind, fragen Sie uns bitte vorher, bevor Sie Tests durchführen.

Nicht-qualifizierte Schwachstellen:

  • Ergebnisse automatisierter Tools müssen erläutert werden und eine relevante Schwachstelle darstellen (bitte nur Reports einreichen, die Sie selbst vollständig verstehen).
  • Keine Verletzung der Privatsphäre von Mitarbeitenden oder Dritten.
  • Kein Social Engineering.
  • Angriffe, die physischen Zugriff auf Geräte oder Netzwerke von Benutzenden erfordern, sind nicht gestattet.
  • Kein DDoS-Angriff (auch keine automatisierten Tools, die eine zu hohe Anzahl von Zugriffen pro Sekunde generieren).
  • Keine Massenregistrierungen oder Massenversendungen von Kontaktformularen.
  • Kein SPAM.
  • Bots haben sich bitte an die Regeln in der robots.txt zu halten.

Vielen Dank für Ihre Mitarbeit!

 

Danksagungen:
Aktuell sind noch keine Danksagungen vorhanden.