CVD

Melden einer Schwachstelle

Wenn Sie eine technische Schwachstelle in IT-Systemen, Anwendungen oder Hardware der
icotec ag entdeckt haben, melden Sie uns diese bitte mit dem untenstehenden Formular.
Für eine konforme Meldung befolgen Sie bitte unsere Rahmenbedingungen und Regeln.

Rahmenbedingungen und Regeln:
So reichen Sie eine CVD-Meldung bei uns ein

  • Füllen Sie das untenstehende Formular mit den Details Ihrer Entdeckung aus.
  • Geben Sie so viele Informationen wie möglich an, damit die Schwachstelle reproduziert werden kann. Damit kann der Prozess beschleunigt werden.
  • Bei komplexeren Schwachstellen wird möglicherweise ein direkter Austausch mit Ihnen benötigt. Geben Sie uns mindestens eine E-Mail-Adresse oder Telefonnummer an.

Melden einer Schwachstelle

  • Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit den Verantwortlichen der icotec ag.
  • Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben.
  • Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
  • Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
  • Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
  • Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
  • Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
  • Verwenden Sie keine Denial-of-Service-Angriffe.
  • Installieren Sie keine Malware oder Viren.
  • Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
  • Teilen Sie der betroffenen Partei mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).

Was Sie von unserem CVD-Programm erwarten können

  • Wenn eine Schwachstelle in Bezug auf die Systeme des Unternehmens icotec innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das Unternehmen icotec keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
  • Sie können Ihre Meldung anonym einreichen.
  • Das Unternehmen icotec behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
  • Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
  • Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung.
  • Das Unternehmen icotec wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
  • Das CVD-Programm des Unternehmen icotec bietet derzeit keine Entschädigung für Meldungen an.