Ankündigung einer Schwachstelle oder koordinierte Offenlegung einer Schwachstelle (CVD)

An der HES-SO//Fribourg legen wir grossen Wert auf die Sicherheit unserer Systeme, Dienstleistungen und Nutzerdaten. Wir sind uns bewusst, dass selbst wenn wir uns nach besten Kräften bemühen, eine optimale Sicherheit zu gewährleisten, Schwachstellen bestehen bleiben können. Wir ermutigen daher die Sicherheitsforschungsgemeinschaft, uns bei der Identifizierung potenzieller Schwachstellen zu unterstützen.

Als Teil dieser Richtlinie zur koordinierten Offenlegung von Sicherheitslücken (CVD) stellen wir einen Rahmen für die verantwortungsvolle Meldung von Sicherheitslücken bereit, die auf unseren Systemen identifiziert wurden. Das Ziel dieser Richtlinie ist es, eine effiziente und zeitnahe Lösung von Problemen zu ermöglichen und gleichzeitig das Risiko für unsere Benutzer und unsere Infrastruktur zu minimieren.

Umfang

Diese Richtlinie gilt für alle Schwachstellen, die in Systemen oder Diensten entdeckt werden, die der HES-SO//Fribourg gehören oder von ihr betrieben werden. Dazu gehören unter anderem:

  • Web- und mobile Apps

  • Interne und öffentliche Systeme

  • Gehostete Infrastruktur (Server, Cloud-Dienste usw.)

Regeln für die Einreichung

Wenn Sie eine Schwachstelle identifiziert haben, bitten wir Sie, bei der Meldung die folgenden Regeln zu befolgen:

  • Melden Sie die Sicherheitslücke per E-Mail an cybersec-incident@hefr.ch.

  • Geben Sie klare und vollständige technische Details zur Sicherheitslücke an, einschließlich:

    • Die Art des Problems

    • Die spezifischen Schritte zum Reproduzieren der Sicherheitsanfälligkeit

    • Screenshots oder Beweise zum Verständnis der Auswirkungen

    • Wenn möglich, geben Sie in Ihrem Bericht die IP-Adressen an, die Sie verwendet haben, als Sie die Sicherheitslücke entdeckt haben. Dies wird dazu beitragen, potenzielle Exploits zu bewerten und die Anzahl von Fehlalarmen zu reduzieren.

    • Kommunizieren Sie Ihre Absichten, wenn Sie planen, Ihre Entdeckung öffentlich zu machen (Warnung, Konferenz, Artikel usw.).

  • Die Schwachstelle nicht veröffentlichen, bis wir die Möglichkeit hatten, sie zu untersuchen und zu beheben.

  • Tun Sie nicht:

    • Sensible Daten exfiltrieren

    • Zugreifen auf oder Bearbeiten anderer Daten als Ihrer eigenen

    • Dienst unterbrechen oder Leistungseinbußen verursachen

    • Automatisierte oder groß angelegte Schwachstellentests durchführen, die unseren Systemen schaden können.

    • Versuchen Sie nicht, sich durch Brute-Force- oder Social-Engineering-Methoden Zugang zu einem System zu verschaffen

    • Verwenden Sie keine Denial-of-Service-Angriffe

    • Malware oder Viren nicht installieren

Unsere Verpflichtungen

Wir verpflichten uns:

  • Bestätigen Sie den Eingang Ihres Berichts innerhalb von 72 Stunden nach Erhalt Ihrer E-Mail.

  • Halten Sie über den Fortschritt der Schwachstellenbehebung auf dem Laufenden.

  • Beheben Sie die Sicherheitslücke so schnell wie möglich, basierend auf ihrer Kritikalität.

  • Benachrichtigt Sie, wenn das Problem behoben ist, damit Sie, wenn Sie möchten, Ihre Ergebnisse verantwortungsvoll veröffentlichen können.

Rahmenbedingungen

  • Einhaltung des rechtlichen Rahmens: Durch das Melden einer Schwachstelle erklären Sie sich damit einverstanden, geltendes Recht einzuhalten. Jegliche Handlungen, die gegen das Gesetz verstoßen (wie z. B. nicht autorisierte Penetrationstests), sind strengstens untersagt.

  • Datenschutz: Alle Informationen, die Sie uns mitteilen, werden vertraulich behandelt und ohne Ihre Zustimmung nicht an Dritte weitergegeben, es sei denn, dies ist gesetzlich vorgeschrieben.

  • Keine finanzielle Belohnung: Die HES-SO//Fribourg bietet kein Bug-Bounty-Programm an. Ihr Beitrag zur Sicherheit unserer Systeme wird anerkannt und geschätzt, führt jedoch nicht zu einer finanziellen Entschädigung.

Ausschlüsse

Einige Sicherheitslücken fallen nicht unter diese Richtlinie, darunter:

  • Brute-Force-Angriffe

  • Testen von DoS (Denial of Service) oder DDoS (Distributed Denial of Service)

  • Probleme im Zusammenhang mit Software von Drittanbietern, die nicht von der HES-SO//Fribourg verwaltet

    wird

  • Sicherheitskonfigurationen für Endbenutzer (z. B. schwache Passwörter oder Sicherheitsprobleme bei persönlichen Geräten)

Koordination

Wir danken Ihnen im Voraus für Ihre Zusammenarbeit und Unterstützung bei der Verbesserung der Sicherheit unserer Systeme. Ihre Hilfe ist von unschätzbarem Wert und trägt nicht nur zum Schutz unserer Organisation, sondern auch aller unserer Benutzer bei.

Wenn Sie Fragen oder Erläuterungen haben, wenden Sie sich bitte an cybersec-incident@hefr.ch.

Letzte Änderung 19.09.2024