Security Disclosure Policy

Danke für Deine Diskretion

Unabhängige Security-Forscher leisten einen wichtigen Beitrag zur Sicherheit unserer Projekte. Wir schätzen ihre Arbeit sehr. Um die Sicherheit unserer Nutzer zu gewährleisten, befürworten wir nachdrücklich die Prinzipien der Coordinated Vulnerability Disclosure (CVD) und halten uns strikt an diese.

Wie Du eine Schwachstelle meldest

Wenn Du glaubst, eine Sicherheitslücke in unseren Projekten entdeckt zu haben, melde diese bitte direkt an uns unter: bundesmessenger@bwi.de.

Für eine vertrauliche Kommunikation empfehlen wir Dir, Deine Erkenntnisse mit unserem PGP-Schlüssel zu verschlüsseln.

Damit wir das Problem effizient bewerten und beheben können, muss Dein erster Bericht eine klare und umfassende Beschreibung der Schwachstelle enthalten, einschließlich der Schritte zur Reproduktion. Wir bitten Dich darum, alle Erkenntnisse streng vertraulich zu behandeln und nicht öffentlich zu teilen, bis wir das Problem gründlich geprüft und uns auf einen Zeitplan geeinigt haben.

Unser Prozess

Wenn Du einen gültigen Sicherheitsbericht einreichst, kannst Du Folgendes von unserem Team erwarten:

  • Schnelle Antwort: Sicherheitsvorfälle haben für uns oberste Priorität. Wir werden den Eingang Deines Berichts bestätigen, das Problem verifizieren und Dir innerhalb von 5 Werktagen ein erstes Feedback geben oder Rückfragen stellen.
  • Zeitplan für die Behebung: Wir werden mit Dir zusammenarbeiten, um einen Zeitplan für die Offenlegung festzulegen. Unser Standardziel ist es, innerhalb von 90 Tagen einen Fix bereitzustellen. Je nach Komplexität des Problems kann dieser Zeitraum von Fall zu Fall verlängert werden (in der Regel auf bis zu 120 Tage).
  • Transparenz: Wenn eine Schwachstelle unsere Nutzerbasis betrifft, verpflichten wir uns, unsere Kunden und die breitere Community transparent zu informieren.
  • Verzögerte Offenlegung bei schwerwiegenden Problemen: Bei kritischen Schwachstellen, die außergewöhnlich störend sind oder trivial ausgenutzt werden können, können wir ein Embargo für technische Details von bis zu 30 Tagen nach Veröffentlichung eines Patches beantragen. Dies stellt sicher, dass unsere Nutzer ausreichend Zeit haben, ihre Systeme sicher zu aktualisieren.
  • Öffentliche Offenlegung: Sobald wir die Schwachstelle behoben (oder das Risiko formell akzeptiert) haben, werden wir Dich benachrichtigen, und es steht Dir anschließend frei, Deine Forschungsergebnisse zu veröffentlichen.

Nicht qualifizierte Schwachstellen

Die folgenden Schwachstellen / IT-Sicherheitsprobleme fallen nicht in den Geltungsbereich der Security Disclosure Policy:

  • Angriffe, die physischen Zugriff auf das Gerät oder Netzwerk eines Nutzers erfordern.
  • Formulare, denen CSRF-Tokens fehlen (Ausnahme: Der Schweregrad übersteigt Stufe 5 des Common Vulnerability Scoring System (CVSS)).
  • Fehlende Sicherheits-Header, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
  • Verwendung einer Bibliothek, die als anfällig oder öffentlich kompromittiert bekannt ist (ohne aktiven Beweis der Ausnutzbarkeit).
  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
  • Social Engineering gegen Personen oder Organisationen der BWI, der Bundeswehr und deren Auftragnehmer.
  • Denial-of-Service-Angriffe (DoS/DDoS).
  • Bots, Spam, Massenregistrierungen.
  • Einreichen von Best-Practice-Empfehlungen (z. B. Certificate Pinning, Security Headers).
  • Verwendung von anfälligen oder "schwachen" Cipher Suites / Chiffren.
  • Verkaufsaktivitäten, die darauf abzielen, Sicherheitsprodukte oder -dienstleistungen zu bewerben oder zu verkaufen.

Bug-Bounty-Richtlinie

Bitte beachte, dass wir derzeit kein finanzielles Bug-Bounty-Programm betreiben. Wir bitten Dich, uns nicht bezüglich Prämienauszahlungen zu kontaktieren und keine Details zu Schwachstellen unter der Bedingung einer finanziellen Entschädigung zurückzuhalten. Berichte, denen es an technischen Details mangelt oder die ausschließlich eine Bezahlung fordern, werden nicht bearbeitet.