Im Rahmen von Sicherheitsanalysen von Software- und Hardware-Produkten entdecken wir regelmäßig unveröffentlichte Schwachstellen.
Hierbei folgen wir strikt folgender Richtlinie, die unser Vorgehen bei der verantwortungsvollen koordinierten Veröffentlichung dieser Schwachstellen (Responsible Coordinated Disclosure Policy) beschreibt. Individualvereinbarungen bleiben hiervon unberührt.
- Wir dokumentieren die von uns erkannte Schwachstelle. Diese Informationen leiten wir zeitnah an den Hersteller des betroffenen Produkts weiter.
- Wir unterstützen den Hersteller soweit uns dies möglich und angemessen erscheint bei der Überprüfung als auch bei der Behebung der Schwachstelle.
- Wir verifizieren die Behebung der Schwachstelle, sofern dies mit angemessenem Aufwand möglich ist.
- Wir unterstützen den Hersteller bei der Veröffentlichung der Schwachstelle. Hierbei erbeten wir eine Erwähnung unserer Unterstützung bei der Erkennung und ggfs. Behebung der Schwachstelle.
- Wir behalten uns grundsätzlich das Recht vor, gefundene Schwachstellen in folgendem Zeitrahmen zu veröffentlichen:
- Falls der Hersteller nicht reagiert oder eine Behebung der Schwachstelle ablehnt, veröffentlichen wir die Schwachstelle frühestens 45 Tagen nach Übermittlung des Schwachstellenberichts.
- Andernsfalls veröffentlichen wir die Schwachstelle nicht vor Ablauf von 90 Tagen nach Übermittlung des Schwachstellenberichts.
- In Einzelfällen können die Zeiträume nach entsprechender Prüfung verlängert werden.
- Ansprüche auf ein abweichendes Vorgehen bedürfen der schriftlichen Vereinbarung.