Koordinierte Offenlegung von Schwachstellen kommunale Website

 

    Koordinierte Offenlegung von Schwachstellen 

    Unsere Gemeinde Kerkrade misst der Sicherheit ihrer Systeme große Bedeutung bei. Trotz aller Vorsichtsmaßnahmen ist es jedoch möglich, dass eine Schwachstelle in den Systemen gefunden wird. Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, würden wir gerne von Ihnen hören, damit wir schnell geeignete Maßnahmen ergreifen können. Indem Sie eine Meldung machen, stimmen Sie als Melder den nachstehenden Vereinbarungen über die koordinierte Offenlegung von Schwachstellen zu, und die Gemeinde Kerkrade wird Ihre Meldung in Übereinstimmung mit den nachstehenden Vereinbarungen behandeln.

    Wir bitten Sie um Folgendes:

    • Senden Sie Ihre Ergebnisse per E-Mail an gemeentehuis@kerkrade.nl. Wenn möglich, verschlüsseln Sie die Ergebnisse mit WinZip oder 7-Zip, um zu verhindern, dass die Informationen in falsche Hände geraten.
    • Bitte geben Sie genügend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, bei komplexeren Schwachstellen kann jedoch mehr erforderlich sein.
    • Wir freuen uns über Tipps, die uns helfen, das Problem zu lösen. Bitte beschränken Sie Ihre Ratschläge jedoch auf nachprüfbare Fakten im Zusammenhang mit der von Ihnen festgestellten Schwachstelle und vermeiden Sie, dass Ihre Ratschläge tatsächlich auf die Werbung für bestimmte (Sicherheits-)Produkte hinauslaufen.
    • Hinterlassen Sie Ihre Kontaktdaten, damit wir uns mit Ihnen in Verbindung setzen können, um gemeinsam ein sicheres Ergebnis zu erzielen. Bitte geben Sie mindestens eine E-Mail-Adresse oder Telefonnummer an.
    • Bitte übermitteln Sie den Bericht so schnell wie möglich, nachdem Sie die Schwachstelle entdeckt haben.

    Die folgenden Aktionen sind nicht erlaubt:

    • Platzierung von Malware, weder auf unseren noch auf fremden Systemen.
    • Das so genannte "Bruteforcing" des Zugangs zu Systemen.
    • Einsatz von Social Engineering.
    • Offenlegung oder Weitergabe von Informationen über das Sicherheitsproblem an Dritte, bevor das Problem behoben ist.
    • Ergreifen von Maßnahmen, die über das unbedingt erforderliche Maß hinausgehen, um das Sicherheitsproblem aufzuzeigen und zu melden. Insbesondere dann, wenn es sich um die Verarbeitung (einschließlich Einsicht oder Kopieren) vertraulicher Daten handelt, zu denen Sie aufgrund der Sicherheitslücke Zugang hatten. Anstatt eine ganze Datenbank zu kopieren, können Sie sich in der Regel z. B. mit einer Verzeichnisauflistung begnügen. Das Ändern oder Löschen von Daten im System ist niemals erlaubt.
    • Anwendung von Techniken, die die Verfügbarkeit und/oder Nutzbarkeit des Systems oder der Dienste beeinträchtigen (DoS-Angriffe).
    • Missbrauch der Schwachstelle in irgendeiner (anderen) Weise.

    Was Sie erwarten können:

    • Wenn Sie alle oben genannten Bedingungen erfüllen, werden wir keine Strafanzeige gegen Sie erstatten oder ein Zivilverfahren gegen Sie einleiten.
    • Sollte sich herausstellen, dass Sie dennoch gegen eine der oben genannten Bedingungen verstoßen haben, können wir dennoch beschließen, rechtliche Schritte gegen Sie einzuleiten.
    • Wir behandeln eine Meldung vertraulich und geben die personenbezogenen Daten eines Meldenden nicht ohne dessen Zustimmung an Dritte weiter, es sei denn, wir sind gesetzlich oder per Gerichtsbeschluss dazu verpflichtet.
    • Wir teilen den erhaltenen Bericht immer mit dem Informationssicherheitsdienst für Gemeinden (IBD). Auf diese Weise stellen wir sicher, dass die Gemeinden ihre Erfahrungen in diesem Bereich teilen.
    • In gegenseitigem Einvernehmen können wir auf Wunsch Ihren Namen als Entdecker der gemeldeten Schwachstelle nennen. In allen anderen Fällen werden Sie anonym bleiben.
    • Wir reagieren auf eine Meldung innerhalb von 5 Arbeitstagen mit einer (ersten) Bewertung der Meldung und möglicherweise einem voraussichtlichen Termin für eine Lösung.
    • Wir werden das von Ihnen gemeldete Sicherheitsproblem so schnell wie möglich beheben. Dabei sind wir bestrebt, Sie über die Fortschritte auf dem Laufenden zu halten, und brauchen nie länger als 90 Tage, um das Problem zu lösen. Allerdings sind wir oft teilweise von Lieferanten abhängig.
    • Es kann einvernehmlich vereinbart werden, ob und wie das Problem nach seiner Lösung veröffentlicht werden soll.