Security

Wenn du von unserer Vulnerability Disclosure Policy Gebrauch machen möchten, bitten wir dich, die folgenden Vorgaben einzuhalten:

• Informiere dich vor deiner Meldung über die Fälle, die nicht in den Geltungsbereich unserer Vulnerability Disclosure Policy fallen.
• Bitte informiere uns zeitnah über die von dir identifizierten Sicherheitslücken, damit wir so schnell wie möglich entsprechende Maßnahme einleiten können.
• Bitte stelle sicher, dass wir die von dir entdeckte Schwachstelle reproduzieren und wir dich bei weiteren Fragen kontaktieren können.
• Bitte sende uns alle notwendigen Informationen zur entdeckten Schwachstelle per E-Mail an security@kdo.de. Unseren PGP-Schlüssel zur Verschlüsselung deiner Nachricht findest du hier: https://www.kdo.de/.well-known/security.txt. Die untenstehende Vorlage gibt dir einen Überblick über die relevanten Punkte, die bei einer Schwachstellenmeldung übermittelt werden sollten.
• Bitte achte darauf, dass deine Schwachstellenforschung nicht zu einer Verletzung des Datenschutzes, zur Störung unserer Produktivsysteme oder Zerstörung oder Veränderung von Daten führen.
• Bitte verzichte darauf, im Rahmen deiner Forschung Social-Engineering,- DDOS-, oder Spam-Attacken auf die KDO oder ihre Tochterunternehmen durchzuführen.
• Bitte nutze für deine Schwachstellen-Analyse ausschließlich eigene Konten.
• Beteiligen dich nicht an Erpressungen.

• Wir informieren dich (i.d.R.) in den ersten 72 Stunden über den Eingang deiner Meldung. Sollte es mal länger dauern: wir sind auch nur Menschen.
• Wir halten dich während der Behebung der Sicherheitslücke auf dem Laufenden.
• Wir arbeiten mit dir zusammen, um die Schwachstelle zu verstehen und so schnell wie möglich zu schließen.
• Wir sichern gemäß unserer Safe Harbour-Regelungen einen rechtlichen Schutz vor einer Strafverfolgung zu. Zudem versprechen wir dir, dass wir deine Meldung und die damit verbundenen personenbezogenen Informationen vertraulich behandeln, wenn du dich an die Vorgaben unserer VDP hältst.
• Wir zeigen unseren Respekt auch öffentlich und erkennen deine Leistung an. Dazu werden wir auf unserer Dankesseite die Beschreibung der geschlossenen Schwachstelle und deinen Namen (bzw. den Alias) des Entdeckers nennen, um so eine gute Zusammenarbeit mit der KDO auch öffentlich zum Ausdruck zu bringen. Dies gilt nur, wenn du hiermit einverstanden bist und du die erste Person sind, die uns über eine konkrete Schwachstelle informiert und dein Bericht zu einer Anpassung von Code oder Konfigurations-Änderung führt. Einen Anspruch hierauf besteht jedoch nicht.

Diese Richtlinie gilt für alle digitalen Vermögenswerte, die dem Zweckverband Kommunale Datenverarbeitung Oldenburg und deren Tochterfirmen angehören oder von ihr verwaltet werden. Die hier aufgeführten Schwachstellen kommen ausdrücklich für unser VDP in Frage. Jedes Design- oder Implementierungsproblem, das die Vertraulichkeit oder Integrität von Benutzerdaten erheblich beeinträchtigt und reproduzierbar ist, fällt ebenfalls sehr wahrscheinlich in den Geltungsbereich dieser Vulnerability Disclosure Policy. Im Folgenden werden einige Beispiele für qualifizierte Schwachstellen aufgezählt:

• Server-Side Request Forgery (SSRF)
• Server-Side Template Injection (SSTI)
• SQL Injection (SQLI)
• Insecure Direct Object Reference
• XML External Entity (XXE)
• Insecure Direct Object Reference
• Daten und Informations-Leaks
• Möglichkeit der Exfiltration von Daten / Informationen
• Aktiv ausnutzbare Hintertüren (Backdoors)
• Möglichkeit einer unautorisierten System-Nutzung
• Remote Code Execution (RCE) – Injection Flaws
• Cross Site Request Forgery (CSRF)
• Cross Site Scripting (XSS)
• Local or Remote File Inclusions
• Fehlkonfigurationen

Generell sind wir an allen Berichten über unsere Software und Abhängigkeiten (einschließlich aller Open-Source-Bibliotheken oder Komponenten von Drittanbietern) interessiert, insbesondere dann, wenn sie sensible Benutzerdaten betreffen. Bitte beachte dabei auch unsere Safe Harbour-Regelungen.

Folgende Schwachstellen und Methoden sind nicht Teil dieser VDP und daher auch nicht durch unsere Safe Harbour-Regelungen abgedeckt:

• Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
• Formulare mit fehlenden CSRF-Token (Ausnahme: Die Kritikalität übersteigt das Common Vulnerability Scoring System (CVSS) Stufe 5.).
• Fehlende Security Header, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
• Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
• Host Header Injection.
• Logout Cross-Site Request Forgery.
• Berichte von automatisierten Tools oder Scans ohne Dokumentation, welche die Schwachstelle erläutert.
• Social Engineering gegen Personen (z.B. Phishing) oder Einrichtungen der KDO sowie deren Auftragnehmer und Auftraggeber.
• Physische Angriffe auf unser Eigentum oder unsere Rechenzentren.
• Sicherheitslücken, bei denen ein potenzielles Opfer nicht standardmäßige Software installieren oder anderweitig aktive Schritte unternehmen muss, um sich anfällig zu machen.
• Denial of Service Angriffe (DoS/DDoS).
• Bots, SPAM,
• Fehlende Einreichung von Best Practices (B. Certificate Pinning, Security Header).
• Fehlende Cookie Flags bei Non-Sensitive Cookies.
• Verwendung von anfälligen und „schwachen“ Cipher-Suites / Chiffren.
• Fehler in der Benutzeroberfläche oder Rechtschreibfehler.

Schwachstellen, die außerhalb des Geltungsbereichs der VDP der KDO liegen oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Anbei haben wir beispielhafte Informationen aufgeführt, welche du uns mitteilen solltest:

• Bezeichnung der Schwachstelle
• Kurzerklärung der Schwachstelle
• Informationen über das betroffene Produkt / Dienst / IT-System / Gerät
  • Hersteller
  • Produkt
  • Version / Modell
• Technische Details und Beschreibung der Schwachstelle
• Proof of Concept bzw. Schritte, die zur Reproduktion der Schwachstelle durchzuführen sind (POC-Skripts, Screenshots oder Bildschirmaufnahme)
• Aufzeigen einer Lösungsmöglichkeit
• Autor und Kontaktdaten
• Einverständnis zur Nennung deiner Entdeckungen auf unserer Dankesseite

Dir droht keine Strafverfolgung, wenn du dich an die Vorgaben hältst, die in der Vulnerability Disclousure Policy der KDO beschrieben sind. Es ist dabei besonders wichtig, dass du dich bei deinen Forschungsaktivitäten ausschließlich auf die Untersuchung der qualifizierten Sicherheitslücken beschränkst und die nicht-qualifizierten Schwachstellen und Methoden meidest.

Wenn deine Sicherheitsforschung die Netzwerke, Systeme, Anwendungen, Produkte oder Dienstleistungen eines Dritten (z. B. Hersteller der von uns betriebenen Software) betrifft, können wir diesen Dritten nicht binden, ebenfalls keine rechtlichen Schritte oder Strafverfolgungshinweise einzuleiten. Wir autorisieren daher keine Sicherheitsforschung im Namen anderer Unternehmen und können in keiner Weise zusichern, dich vor Handlungen Dritter zu verteidigen oder anderweitig zu schützen.

Kontaktiere uns bitte, bevor du dich an einem Verhalten beteiligen, das möglicherweise nicht mit dieser Richtlinie übereinstimmt oder von dieser nicht umfasst ist bzw. wenn Unsicherheiten hierüber bestehen.

Die Bestimmungen dieser Richtlinie gelten ab dem 01.04.2023 solange, bis sie von der KDO geändert oder aufgehoben werden. Die Änderungen bzw. die Aufhebung dieser Bestimmungen werden auf der Website der KDO veröffentlicht und gelten sieben Tage nach ihrer Veröffentlichung.