• Published:
  • Updated:
  • Written by:

Security Policy

Sollten Sie eine oder mehrere Schwachstellen in IT-Produkten, IT-Systemen oder IT-Dienstleistungen der Centurion Intelligence Consulting Agency gefunden haben, können Sie sich vertrauensvoll an uns wenden. Wir nehmen jede gemeldete Schwachstelle ernst.

Wir erwarten, dass Sie sich an diese Coordinated Vulnerability Disclosure (CVD) Richtlinie der Centurion Intelligence Consulting Agency halten, damit Ihre Schwachstellenmeldung in unserem CVD-Prozess überführt werden kann. Wie die Centurion Intelligence Consulting Agency konkret mit Schwachstellenmeldungen im Rahmen eines CVD-Prozesses umgeht, lesen Sie in dieser Policy.

Wir versprechen,

  • jeden Schwachstellenbericht innerhalb des gesetzlichen Rahmens vertraulich zu behandeln.
  • personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiterzugeben.
  • eine Rückmeldung zu jeder getätigten Schwachstellenmeldung zu geben.
  • keine strafrechtlichen Schritte gegen Sie einzuleiten, solange Ihrerseits die Richtlinie und Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
  • Ansprechpartner für den vertrauensvollen Austausch während des gesamten Prozesses zu sein.
  • nach Abschluss eines CVD-Prozesses, falls gewünscht, Ihren Namen / Alias sowie eine gewünschte Referenz auf der Danksagungswebseite der Centurion Intelligence Consulting Agencyzu veröffentlichen.

Bitte beachten Sie für den Fall, dass Sie personenbezogene Daten in der Meldung angegeben haben, die Hinweise der Centurion Intelligence Consulting Agency zum Datenschutz.

Datenschutzerklärung der Centurion Intelligence Consulting Agency

Wir erwarten von Ihnen, dass

  • die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde. D.h., dass keine Schäden über die gemeldete Schwachstelle hinaus angerichtet wurden.
  • keine Angriffe (wie z.B. Social-Engineering-, Spam-, (Distributed) DoS- oder „Brute Force“-Angriffe, etc.) gegen IT-Systeme oder Infrastrukturen durchgeführt wurden.
  • keine Manipulation, Kompromittierung oder Veränderung von möglichen Systemen oder Daten Dritter vorgenommen wurde;
  • keine Tools zur Schwachstellenausnutzung z.B. auf Darknet-Märkten entgeltlich oder unentgeltlich angeboten wurden, die Dritte zur Begehung von Straftaten nutzen können.
  • es sich bei der Schwachstellenmeldung nicht um Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation handelt. Diese stellen keine gültigen Schwachstellenmeldungen dar.
  • es sich bei der Schwachstellenmeldung um bisher nicht bekannte Informationen handelt. Zu bereits behobenen Schwachstellen werden Ihre Informationen zwar entgegengenommen und geprüft, sie qualifizieren sich jedoch nicht für eine weiterführende Bearbeitung im Rahmen des CVD-Prozesses.
  • grundsätzlich gültige Kontaktdaten (E-Mail-Adresse) hinterlegt werden, damit wir Sie im Falle von Rückfragen kontaktieren können. Gerade bei komplexen Schwachstellen ist es nicht auszuschließen, dass wir weitere Erklärungen und Dokumentationen benötigen. Da wir sehr viel Wert auf eine gute Kommunikation legen, werden Schwachstellenmeldungen ohne Kommunikationsmöglichkeiten (bspw. gültige Kontaktdaten) nur eingeschränkt bearbeitet.

Im Falle einer anonymen Meldung ist zu berücksichtigen, dass fachliche und inhaltliche Rückfragen der Centurion Intelligence Consulting Agency und / oder des Herstellers nicht beantwortet und entsprechende Schwachstellenmeldungen daher nur eingeschränkt oder ggf. nicht bearbeitet werden können.

Schwachstellenmeldungen via E-Mail

Sicherheitsforscher, die ein eigenes Meldungsformat verwenden, (bspw. PDF oder txt) können Schwachstellenmeldungen und Koordinierungsanfragen direkt an die E-Mail-Adresse security@coresecret.eu der Centurion Intelligence Consulting Agency senden.

Dabei ist eine Schwachstellenmeldung wie folgt aufzubauen:

  1. Der Name des Herstellers und ob Kontakt mit diesem Aufgebaut wurde.
  2. Der Name des Produkts und die getestete Versionsnummer.
  3. Eine einfache Beschreibung (ggf. Screenshots oder andere Abbildungen für die bessere Nachvollziehbarkeit), aus der hervorgeht, wie die Schwachstelle entdeckt wurde (einschließlich evt. verwendeter Tools).
  4. Eine Zuordnung der Schwachstelle an die OWASP Top 10 2021 (siehe https://owasp.org/www-project-top-ten). Sollte keiner der Schwachstellenkategorien passen, so ist diese als „Sonstige“ näher zu beschreiben.
  5. Einen Proof-of-Concept-Code (PoC) oder Anweisungen enthalten muss, aus denen hervorgeht, wie die Schwachstelle ausgenutzt werden kann.
  6. Eine (formlose) Einverständniserklärung zur Aufnahme eines Namens / Alias in die Danksagungswebseite (Hall of Fame) der Centurion Intelligence Consulting Agency enthalten.
  7. Eine Risikoeinschätzung unter Beachtung der technischen Gegebenheiten zur Bestimmung des Schweregrads der Schwachstelle (bspw. durch Verwendung eines CVSS-Wertes und der dazugehörigen Matrix – präferiert in der aktuellsten Version) enthalten.
  8. Eine Beschreibung der Auswirkungen der gemeldeten Schwachstelle oder ein Bedrohungsmodell, das ein relevantes Angriffsszenario beschreibt.

Für eine verschlüsselte Kommunikation verwenden Sie bitte unseren PGP-Schlüssel. Diesen finden Sie in unserem Repository.

Search: