Responsible Disclosure Policy
Der verantwortungsvolle Umgang mit den Erkenntnissen unserer Arbeit hat für uns oberste Priorität. Wir haben uns intensiv mit der Frage beschäftigt, was dies für unser Verhalten bedeutet.
Schwachstellen in Standardprodukten, die nicht von unserem Auftraggeber selbst hergestellt und deren Veröffentlichungen nicht vertraglich untersagt wurden, melden wir in einem strukturierten Prozess zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen (Responsible Disclosure). Wir tun dies ausschließlich vertraulich, schriftlich und in einer Form, die es dem Hersteller ermöglichen soll, die Schwachstelle nachzuvollziehen und schließlich beheben zu können.
Wir behalten uns vor, die von uns gefundene Schwachstelle zu veröffentlichen. Innerhalb einer Frist von 60 Tagen kann der Hersteller eine Lösung bereitstellen; sollte dies nicht geschehen, kann die Veröffentlichung nach Ablauf dieser Frist dennoch erfolgen. Von diesem Vorgehen weichen wir nur in solchen Fällen ab, in denen eine andere Vorgehensweise die Risiken aller betroffenen Parteien nachweislich mindern würde.
Für den verschlüsselten Datenaustausch können wir unsere webbasierte usd Austauschplattform nutzen. Alternativ können wir Ihnen für eine verschlüsselte Kommunikation via E-Mail (responsible-disclosure@usd.de) S/MIME oder PGP anbieten. Für den Datenaustausch per Mail benötigen wir das öffentliche Zertifikat von Ihnen.