Melden von Sicherheitslücken durch „Responsible Disclosure“

Vattenfall legt höchsten Wert auf die Sicherheit seiner Informations- und Kommunikationssysteme. Trotz dessen können Sicherheitslücken nicht zu 100% ausgeschlossen werden. Die Ausnutzung oder der Missbrauch dieser Sicherheitslücken ist illegal.

Um zu verhindern, dass identifizierte Sicherheitslücken durch Angreifer ausgenutzt werden können empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anwendung des „Responsible Disclosure“ (Verantwortungsvolle Offenlegung) Prinzips. Die Anwendung dieses Prinzips garantiert eine koordinierte und auf Vertrauen basierende Zusammenarbeit zwischen dem Entdecker der Sicherheitslücke und dem betroffenen Hersteller oder Dienstleister.

Eine natürliche oder juristische Person, die eine Sicherheitslücke identifiziert, sollte für eine verantwortungsvolle Offenlegung wie folgt vorgehen:

  • Melden Sie eine Sicherheitslücke an Vattenfall durch das Ausfüllen des Online Formulars. Geben Sie möglichst viele Informationen zur Sicherheitslücke an. Die Meldung kann anonym erfolgen.

  • Nutzen Sie die Sicherheitslücke nicht aus, zum Beispiel durch das Ausspähen, Verändern von Daten Dritter oder die vorsätzliche Beeinträchtigung der Verfügbarkeit des Dienstes.

  • Alle Aktivitäten im Zusammenhang mit der Entdeckung der Sicherheitslücke müssen sich im gesetzlichen Rahmen bewegen.

  • Informieren Sie Dritte nicht über die Sicherheitslücke. Sämtliche Kommunikation bezüglich der Sicherheitslücke wird durch Vattenfall koordiniert.

  • Werden die oben genannten Bedingungen befolgt, wird Vattenfall keinerlei juristische Schritte gegenüber dem Meldenden einleiten.

  • Im Fall einer nicht-anonymen Meldung wird Vattenfall den Meldenden über Vattenfall‘s Vorgehensweise und den Fortschritt zum Schließen der Sicherheitslücke informieren.

  • In Abhängigkeit der Kritikalität der Sicherheitslücke und der Qualität der Meldung wird Vattenfall die Aufdeckung der Sicherheitslücke würdigen und dem Meldenden öffentlich zuschreiben.

Für Vattenfall sind Sicherheit, Zuverlässigkeit und Ehrlichkeit sehr wichtige Prinzipien. Dies trifft sowohl auf Vattenfall’s Aktivitäten als ein Energieunternehmen als auch auf seine Rolle in der Gesellschaft zu. Ihr Beitrag zur Steigerung der Sicherheit und Zuverlässigkeit wird sehr begrüßt!

 

Melden Sie eine Sicherheitslücke

 

Vattenfall garantiert, dass es keine Anstrengungen zur Identifizierung anonymer Melder unternimmt, die Ihr Wissen über die Sicherheitslücke nicht missbräuchlich verwendet haben und das Wissen nicht mit Dritten geteilt haben.