Richtlinie zur Offenlegung von Schwachstellen
Einführung
Das vorliegende Dokument ist die Barings-Richtlinie zur Offenlegung von Schwachstellen. Bitte lesen Sie diese Richtlinie vollständig durch, bevor Sie Schwachstellen melden. So stellen Sie sicher, dass Sie die Richtlinie verstehen und in Übereinstimmung mit ihr handeln.
Barings verpflichtet sich:
- Sicherheitsprobleme in unseren Plattformen und Diensten gründlich zu untersuchen und zu beheben
- mit der Sicherheitsgemeinschaft zusammenzuarbeiten
- unverzüglich und aktiv zu reagieren
Diese Seite wurde zuletzt am 30.03.2023 aktualisiert.
Geltungsbereich und Hinweise
Sie dürfen NICHT:
- Gegen einschlägige Gesetze oder Vorschriften verstoßen.
- Auf unnötige oder übermäßige Datenmengen zugreifen.
- Daten in den Systemen oder Diensten von Barings ändern.
- Hochintensive invasive oder destruktive Scan-Tools verwenden, um Schwachstellen ausfindig zu machen.
- Eine Dienstverweigerung versuchen oder anzeigen.
- Dienste oder Systeme unterbrechen oder verändern.
- Berichte über nicht ausnutzbare Schwachstellen oder die Nichteinhaltung bewährter Verfahren vorlegen.
- Berichte über Schwachstellen in der TLS-Konfiguration vorlegen, z. B. über die Unterstützung „schwacher“ Cipher-Suites.
- Schwachstellen auf andere Weise als in der zugehörigen security.txt-Datei beschrieben kommunizieren.
- Social Engineering, „Phishing“ oder physische Angriffe auf das Personal oder die Infrastruktur des Unternehmens durchführen.
- Eine finanzielle Entschädigung für die Offenlegung von Schwachstellen verlangen.
Sie müssen:
- Datenschutzbestimmungen einhalten und dürfen den Schutz der von Barings aufbewahrten Daten nicht verletzen. Sie dürfen zum Beispiel keine Daten, die Sie von den Systemen oder Diensten von Barings abgerufen haben, weitergeben oder verbreiten.
- Alle Daten sicher löschen, sobald sie nicht mehr benötigt werden, oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzgesetz vorschreibt).
Meldung von Schwachstellen
Wenn Sie eine Sicherheitslücke entdeckt haben, die Ihrer Meinung nach in den Geltungsbereich fällt, sollten Sie zunächst die vorstehenden Angaben zum Geltungsbereich prüfen und dann wie beschrieben einen Bericht einreichen.
Dieser sollte Folgendes beinhalten:
- Die Website oder Seite, auf der die Schwachstelle beobachtet werden kann.
- Eine kurze Beschreibung der Art der Schwachstelle.
Ihr Bericht sollte nach Möglichkeit einen harmlosen, nicht zerstörerischen Nachweis der Ausnutzung liefern. Dadurch wird sichergestellt, dass der Bericht schnell und präzise ausgewertet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder die böswillige Ausnutzung bestimmter Schwachstellen, wie z. B. die Übernahme von Subdomains.
Senden Sie alle Ergebnisse an baringscyber@barings.com.
Belohnung für die Offenlegung von Schwachstellen
Wir schätzen die Personen, die sich die Zeit und Mühe nehmen, Sicherheitslücken gemäß dieser Richtlinie zu melden, bieten jedoch keine finanzielle Belohnung für die Offenlegung von Schwachstellen.
Das ist zu erwarten
Wenn Sie Ihre Schwachstellenmeldung eingereicht haben, erhalten Sie in der Regel innerhalb von fünf Arbeitstagen nach Eingang der Meldung eine Bestätigung. Barings bewertet die gemeldete Schwachstelle und reagiert so schnell wie möglich, um Ihnen mitzuteilen, ob weitere Informationen erforderlich sind, ob die Schwachstelle in oder außerhalb des Geltungsbereichs liegt bzw. ob es sich um eine Doppelmeldung handelt.
Rechtliche Hinweise
Diese Richtlinie ist so konzipiert, dass sie mit der gängigen Praxis der Offenlegung von Schwachstellen vereinbar ist. Sie gibt Ihnen nicht das Recht, in einer Art und Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass Barings oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.