Sicherheitslücken melden

Wenn Sie eine Sicherheitslücke im ISMS Copilot entdecken, möchten wir von Ihnen hören. In diesem Artikel wird erläutert, was als Sicherheitsproblem gilt, wie Sie es verantwortungsbewusst melden und was Sie während unseres Lösungsprozesses erwarten können.

Was als Sicherheitslücke gilt

Melden Sie Probleme, die Folgendes beeinträchtigen könnten:

• Vertraulichkeit der Daten: Unbefugter Zugriff auf Benutzerdaten, Workspaces, Unterhaltungen oder hochgeladene Dokumente

• Authentifizierung und Zugriffskontrolle: Umgehung der Anmeldung, Session-Hijacking, Privilegieneskalation oder Zugriff auf Konten anderer Benutzer

• Datenintegrität: Unbefugte Änderung oder Löschung von Benutzerdaten oder Systemkonfigurationen

• Anwendungssicherheit: SQL-Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder ähnliche Injection-Angriffe

• Infrastruktursicherheit: Fehlkonfigurationen von Servern, offengelegte Anmeldedaten oder unsichere API-Endpunkte

• Verschlüsselungsfehler: Schwache oder fehlerhafte Verschlüsselung, unsichere Datenübertragung oder offengelegte kryptografische Schlüssel

Was nicht als Sicherheitslücke gilt

Die folgenden Punkte werden nicht als Sicherheitslücken betrachtet:

• Funktionsanfragen oder allgemeine Fehlermeldungen (nutzen Sie hierfür unseren Standard-Support-Kanal)

• Probleme, die einen physischen Zugriff auf das Gerät eines Benutzers erfordern

• Social-Engineering-Angriffe, die auf Endnutzer abzielen

• Denial-of-Service-Angriffe (DoS) ohne nachweisbare Auswirkungen

• Spam oder Umgehung von Ratenbegrenzungen für legitime Funktionen

• Schwachstellen in Drittanbieter-Diensten, die wir nicht kontrollieren (melden Sie diese direkt dem jeweiligen Anbieter)

Unterstützte Versionen

ISMS Copilot wird als Software-as-a-Service (SaaS) Plattform mit Continuous Deployment betrieben. Alle Nutzer verwenden automatisch die aktuelle Produktionsversion — es gibt keine Legacy-Versionen, die gepflegt werden müssen.

Sicherheitslücken sollten gemeldet werden für:

• Produktionsanwendung: https://chat.ismscopilot.com

• Help Center: https://help.ismscopilot.com

• Öffentliche Websites: https://www.ismscopilot.com, https://trust.ismscopilot.com

• API-Endpunkte: Alle öffentlich zugänglichen oder authentifizierten APIs, die von der Anwendung genutzt werden

So melden Sie eine Sicherheitslücke

Befolgen Sie diese Schritte für eine verantwortungsbewusste Offenlegung (Responsible Disclosure):

1. Kontaktieren Sie den ISMS Copilot Support sofort über das Help Center unter https://help.ismscopilot.com oder per E-Mail an [email protected]

2. Fügen Sie detaillierte Informationen bei:

   • Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen

   • Schritt-für-Schritt-Anleitung zur Reproduktion

   • Betroffene URLs, Endpunkte oder Funktionen

   • Screenshots, Videos oder Proof-of-Concept-Code (falls zutreffend)

   • Ihre Einschätzung des Schweregrads (niedrig, mittel, hoch, kritisch)

3. Nutzen Sie die Schwachstelle nicht weiter aus, als es für den Nachweis des Problems erforderlich ist

4. Greifen Sie während Ihrer Tests nicht auf Daten anderer Benutzer zu, ändern oder löschen Sie diese nicht

5. Behandeln Sie das Problem vertraulich, bis wir die Bereitstellung eines Fixes bestätigt haben

Reaktions- und Lösungszeitplan

Wenn Sie eine Schwachstelle melden, geschieht Folgendes:

1. Erste Bestätigung: Wir bestätigen den Eingang Ihrer Meldung innerhalb von 24 Stunden

2. Bewertung: Unser Sicherheitsteam prüft das Problem innerhalb von 24 Stunden, um Schweregrad und Auswirkungen zu bestimmen

3. Untersuchung: Wir untersuchen die Ursache und entwickeln eine Lösung. Der Zeitplan hängt von der Komplexität ab:

   • Kritische Schwachstellen: Lösung innerhalb von 48-72 Stunden

   • Schwachstellen mit hohem Schweregrad: Lösung innerhalb von 7 Tagen

   • Mittel/Niedrig priorisierte Probleme: Lösung innerhalb von 30 Tagen

4. Benachrichtigung: Falls die Schwachstelle Benutzerdaten betrifft, informieren wir die betroffenen Nutzer innerhalb von 72 Stunden (Anforderung gemäß DSGVO Artikel 33)

5. Bestätigung der Behebung: Wir informieren Sie, wenn der Fix bereitgestellt wurde und bestätigen, dass eine öffentliche Bekanntgabe sicher ist (sofern Sie dies wünschen)

Was Sie vermeiden sollten

Um alle Nutzer zu schützen, vermeiden Sie bitte Folgendes:

• Öffentliche Offenlegung: Posten Sie keine Schwachstellen in sozialen Medien, Foren oder öffentlichen Issue-Trackern, bevor wir sie behoben haben

• Übermäßiges Testen: Führen Sie keine automatisierten Scans oder Penetrationstests durch, die den Dienst für andere Nutzer stören könnten

• Datenexfiltration: Laden Sie keine Daten anderer Nutzer herunter, speichern oder teilen Sie diese nicht — auch nicht, um die Existenz einer Schwachstelle zu beweisen

• Erpressung oder Drohungen: Sicherheitsforschung sollte in gutem Glauben durchgeführt werden, um die Plattform zu verbessern, nicht als Druckmittel

Bug-Bounty-Programm

ISMS Copilot betreibt derzeit kein formelles Bug-Bounty-Programm mit finanziellen Belohnungen. Wir wissen die Arbeit von Sicherheitsforschern, die Schwachstellen verantwortungsbewusst melden, sehr zu schätzen und werden Ihren Beitrag nach der Lösung (mit Ihrer Erlaubnis) öffentlich würdigen.

In Einzelfällen gewähren wir Anerkennungen, Merchandising oder Service-Guthaben für besonders bedeutsame Funde.

Zugehörige Ressourcen

• Übersicht zu Sicherheit & Datenschutz - Umfassende Sicherheitsdokumentation

• Wie wir ISMS Copilot sicher & präzise halten - Unser Sicherheitsansatz

• System-Statusseite - Echtzeit-Uptime-Monitoring

• Sicherheitsrichtlinien - Interne Sicherheitsrichtlinien und -verfahren

Fragen?

Wenn Sie unsicher sind, ob etwas als Sicherheitslücke gilt, oder Klärung zu unserem Offenlegungsprozess benötigen, kontaktieren Sie uns unter [email protected]. Wir helfen Ihnen gerne dabei, ISMS Copilot noch sicherer zu machen.