Zum Hauptinhalt

Koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD)

Für uns hat die Sicherheit unserer Systeme und Daten höchste Priorität. Doch trotz intensiver Bemühungen können sich Schwachstellen zeigen. Wir bitten Sie um Ihre Hilfe bei der Verbesserung des Schutzes unserer Systeme und Daten. Sollten Sie eine Schwachstelle oder Sicherheitslücke entdecken, bitten wir Sie, uns sofort davon in Kenntnis zu setzen. So können wir Maßnahmen ergreifen, um das Problem schnellstmöglich zu beheben. Eine solche Meldung wird als Coordinated Vulnerability Disclosure oder CVD bezeichnet.

Worum wir Sie bitten:

  • Informieren Sie uns über die Schwachstelle, indem Sie uns Ihre Erkenntnisse über Zerocopter hier mitteilen. Auf dieser Seite finden Sie auch Informationen zu den Bereichen und Schwachstellen, die wir als relevant und als nicht relevant erachten.
  • Melden Sie die Schwachstelle auf eine Art und Weise, die die Vertraulichkeit der Meldung sicherstellt, damit Dritte keinen Zugriff auf die Informationen erhalten.
  • Melden Sie die Schwachstelle so schnell wie möglich, um das Risiko auf böswillige Ausnutzungen zu minimieren.
  • Stellen Sie ausreichende Informationen zur Verfügung, um die Schwachstelle zu reproduzieren, damit wir sie beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus. Komplexe Schwachstellen erfordern jedoch eine ausführlichere Beschreibung.

Worum wir Sie nicht bitten:

  • Nutzen Sie die von Ihnen entdeckte Schwachstelle nicht aus, indem Sie beispielsweise mehr Daten als notwendig herunterladen, um die Schwachstelle zu veranschaulichen, oder unsere Daten löschen/verändern.
  • Geben Sie die Schwachstelle nicht an Dritte weiter, bis sie behoben wurde.
  • Nutzen Sie die Schwachstelle nicht für Attacken in den Bereichen physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder (Web-)Anwendungen von Dritten.
  • Verschaffen Sie sich keinen wiederholten Zugriff auf das System und geben Sie den Zugriff nicht an Dritte weiter.
  • Führen Sie keine automatischen Scans unserer Infrastruktur und Systeme durch, um Schwachstellen zu identifizieren.
  • Verwenden Sie keine Brute-Force-Angriffstechniken, um sich Zugriff auf unsere Systeme oder Daten zu verschaffen, da dies nicht als Schwachstelle betrachtet werden kann.

Was wir Ihnen versprechen:

Als Dank für Ihre Hilfe erhalten Sie von uns eine Belohnung für jede uns bisher unbekannte Schwachstelle. Die Höhe der Belohnung richtet sich nach dem Schweregrad der jeweiligen Schwachstelle. Zahlungen erfolgen, nachdem eine Meldung den Status „behoben“ erhalten hat.

  • Wir werden Sie über den Fortgang der Behebung der Schwachstelle über Zerocopter auf dem Laufenden halten.
  • Ihre Meldung wird von uns vertraulich behandelt und wir werden Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben, es sei denn, wir sind dazu gesetzlich oder durch ein Gerichtsurteil verpflichtet.
  • Wenn Sie eine Schwachstelle im Einklang mit unseren Bedingungen melden, werden wir keine rechtlichen Schritte gegen Sie einleiten.