BergPass

Sicherheitsmeldungen

Wir im LBEG legen Wert auf die Sicherheit unserer Systeme und prüfen diese daher regelmäßig und selbstständig.

Sollten Sie oder jemand, den Sie kennen, eine Schwachstelle in unserer BergPass-Anwendung gefunden haben, auch wenn es sich nur um einen Verdacht handelt, dann teilen Sie uns dies schnellstmöglich mit. Damit Sie sicher und einfach potenzielle Sicherheitsprobleme melden können, haben wir eine security.txt-Datei implementiert.

Über die security.txt-Datei können Organisationen relevante Kontaktinformationen für Sicherheitsforscher und Ethical Hackers veröffentlichen, um eine sichere Übertragung zu gewährleisten.

Wenn Sie Sicherheitsprobleme auf unserer Webseite entdecken oder vermuten, möchten wir Sie ermutigen, diese verantwortungsbewusst zu melden. Bitte schauen Sie in unserer security.txt-Datei nach, um die entsprechenden Kontaktinformationen zu finden und die Meldung einzureichen. Diese Datei befindet sich im Wurzelverzeichnis unserer Webseite (https://bergpass.de/security.txt).

Sollten IT-Produkte, IT-Systeme oder IT-Dienstleistungen von Herstellern bzw. Produktverantwortlichen außerhalb der Anwendung BergPass betroffen sein, wenden Sie sich zuerst an den Hersteller bzw. Produktverantwortlichen. Sollte es hier keine Rückmeldung geben und die Schwachstelle ist weiterhin vorhanden, können Sie sich an das BSI wenden.

Bitte beachten Sie die Hinweise des LBEG zum Datenschutz. Wir gehen verantwortungsvoll mit personenenbezogenen Daten in den Meldungen um.

Verhaltensregeln für den Umgang mit Schwachstellen

  1. teilen Sie keine Informationen über Sicherheitslücken mit anderen
  2. nutzen Sie die gefundene Schwachstelle nicht aus und speichern Sie keine vertraulichen Daten
  3. führen Sie keine Angriffe wie Social-Engineering-, Spam-, (Distributed) DoS- oder „Brute Force“-Angriffe, usw.gegen IT-Systeme oder Infrastrukturen aus
  4. manipulieren, kompromittieren oder verändern Sie keine Systeme und Daten
  5. verletzen Sie nicht die Privatsphäre der Nutzer

So melden Sie die Schwachstelle

Bitte beachten Sie, dass alle Sicherheitsmeldungen mit PGP (Pretty Good Privacy) verschlüsselt sein müssen. Sie finden unseren öffentlichen PGP-Schlüssel in der security.txt-Datei.

Ihre Meldung sollte folgende Punkte enthalten:

  • der Name des Produktes, hier “BergPass”
  • die getestete Versionsnummer des Produktes
  • den verwendeten Browser
  • Wenn Tools verwendet wurden um die Schwachstelle zu entdecken, bitte benennen Sie diese.
  • Eine detaillierte Beschreibung und Screenshots / Abbildungen, aus der hervorgeht, wie die Schwachstelle entdeckt wurde und wo sie sich befindet
  • Einen Proof-of-Concept-Code (PoC), der Anweisungen enthalten muss, aus denen hervorgeht, wie die Schwachstelle ausgenutzt werden kann.
  • Eine Risikoeinschätzung unter Beachtung der technischen Gegebenheiten zur Bestimmung des Schweregrads der Schwachstelle (bspw. durch Verwendung eines CVSS-Wertes und der dazugehörigen Matrix - präferiert in der aktuellsten Version) enthalten.
  • Eine Beschreibung der Auswirkungen der gemeldeten Schwachstelle oder ein Bedrohungsmodell, das ein relevantes Angriffsszenario beschreibt.
  • Ihre Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit wir zum Fortschritt bei der Beseitigung der Schwachstelle oder für Rückfragen Kontakt aufnehmen können

Wir nehmen auch anonyme Meldungen ernst und prüfen diese.
Wenn Sie einen persönlichen, telefonischen Kontakt wünschen, teilen Sie uns bitte Ihre Telefonnummer mit. Wir rufen Sie dann zurück.

So verfahren wir mit Meldungen und Rückmeldungen

  1. Jede Meldung wird bearbeitet, auch wenn diese anonym ist.
  2. Jede Meldung wird beantwortet, wenn Sie Ihre Kontaktdaten angeben.
  3. Spätestens zwei Werktage nach der Meldung bekommen Sie eine Empfangsbestätigung.
  4. Spätestens drei Werktage nach der Empfangsbestätigung senden wir Ihnen die Ergebnisse der Analyse, die Bewertung und die bisherigen Ergebnisse unserer Bearbeitung zu. Sollte es bis dahin keine Lösung geben, teilen wir Ihnen zusätzlich das vorraussichtliche Datum der Lösung mit.
  5. Rückmeldungen an Sie werden keine sensiblen Daten enthalten
  6. unsere Werktage definieren sich so: Mo-Fr. 9.00-15.30