Meldung von Schwachstellen und Sicherheitslücken im Zusammenhang mit ekey-Produkten und -Services

Das „Product Security Incident Response Team” von ekey, oder kurz ekey-PSIRT, bietet Kunden, Partnern, Testern sowie Sicherheitsexperten eine zentrale Anlaufstelle und einen konsistenten Prozess zur Meldung von Sicherheitslücken, die in Produkten und Dienstleistungen von ekey identifiziert werden. Im Zentrum der Arbeit des Teams steht die Kommunikation mit sämtlichen Betroffenen, sowohl intern wie auch extern.

Meldungen zu potenziellen Schwachstellen oder anderen Vorfällen sind ausdrücklich von jedem willkommen – unabhängig von einem etwaigen Kundenstatus.

Wie melde ich eine Sicherheitslücke?

Ihnen ist eine potenzielle Schwachstelle oder ein Sicherheitsvorfall im Zusammenhang mit einer ekey-Website oder einem ekey-Produkt aufgefallen oder Sie haben ein Datenschutzproblem entdeckt? Gehen Sie bitte wie folgt vor.

Führen Sie so viele Informationen wie möglich in einer Meldung an, damit wir diese rasch bearbeiten können. Bei Website- oder Produktschwachstellen fügen Sie folgende Informationen hinzu:

  • Kontaktinformationen
  • Betroffenes Produkt einschließlich Modell und Firmware-Version (falls bekannt)
  • URL-Adresse für Schwachstellen auf Websites
  • Detaillierte Beschreibung der Schwachstelle (wenn möglich mit einem Nachweis)
  • Auswirkung der Schwachstelle (falls bekannt)
  • Aktueller Bekanntheitsgrad der Schwachstelle (Gibt es konkrete Veröffentlichungspläne?)
  • CVSS-Score (falls bekannt)

Wir empfehlen, die gesamte Kommunikation mit dem ekey-PSIRT zu verschlüsseln:

  • Download des PGP-public Keys
  • Fingerprint: D7AD 73CD 31A1 E5FE 0B67  6037 D805 C2B3 679A 159B

Schicken Sie Ihre Meldung an psirt@ekey.net.

Was können Sie erwarten, wenn Sie eine Schwachstelle melden?

  • Innerhalb von sieben Tagen erhalten Sie eine Antwort vom PSIRT. In dieser Phase wird der Eingang Ihrer Meldung bestätigt und die gemeldete Schwachstelle zur Bearbeitung an das zuständige Produkt- und Applikationsteam bei ekey weitergeleitet.
  • Sobald das Problem als Sicherheitslücke bestätigt wurde, werden Sie ebenfalls benachrichtigt und ein Behebungsplan wird erstellt. Bei der Priorisierung der Abhilfemaßnahmen werden Auswirkungen, Schweregrad und Komplexität berücksichtigt.
  • Während des gesamten Prozesses der Schwachstellenbearbeitung stellt unser Team sicher, dass Informationen über die Schwachstelle nur zwischen den relevanten Bearbeitern ausgetauscht werden. Sie werden gebeten, die Informationen vertraulich zu behandeln, bis eine Lösung für unsere Kunden verfügbar ist.
  • Die Aufrechterhaltung der Kommunikation zwischen allen beteiligten Parteien, sowohl intern als auch extern, ist ein wesentlicher Bestandteil des PSIRT-Prozesses von ekey. Die gesamte Abfolge bis zur Behebung der gemeldeten Schwachstelle wird durch regelmäßige Statusaktualisierungen an Sie begleitet.
  • Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen, sofern eine Offenlegung verantwortungsvoll erfolgt.