Wir verwenden Cookies, um die Nutzung der Website zu analysieren und die Benutzerfreundlichkeit zu verbessern. Sehen Sie sich unsere Datenschutzerklärung.

Meldung von Sicherheitslücken

Wir tun alles, um die Sicherheit unserer Systeme zu gewährleisten. Trotz umfassender Maßnahmen können jedoch Schwachstellen auftreten. Bitte teilen Sie uns mit, wenn Sie eine Sicherheitslücke entdecken, damit wir unverzüglich geeignete Maßnahmen zur Behebung ergreifen können. Wir nennen dies „Meldung von Sicherheitslücken“ (auch bekannt als „Coordinated Vulnerability Disclosure“ und „Responsible Disclosure“).

Wie Sie eine Schwachstelle melden

    · Bitte senden Sie Ihre Meldung an security@anthura.nl. Falls dies nicht möglich ist, kontaktieren Sie uns bitte telefonisch unter +31 (0)10 529 19 19.

    · Bitte senden Sie uns eine möglichst detaillierte Beschreibung des Problems einschließlich IP-Adressen, Protokollen, Screenshots usw., damit wir den Fehler reproduzieren und beheben können.

    · Geben Sie bitte auch Ihre Kontaktdaten wie eine Telefonnummer oder E-Mail-Adresse an, damit wir Sie bei Rückfragen erreichen können.

Nach der Meldung

    · Sprechen Sie mit niemandem über die Schwachstelle.

    · Löschen Sie alle Daten, die Sie im Zusammenhang mit der Schwachstelle erhalten haben.

    · Führen Sie ausschließlich die zur Veranschaulichung des Problems notwendigen Schritte durch.

    · Missbrauchen Sie die Schwachstelle nicht. Andernfalls sind wir verpflichtet, die zuständigen Behörden zu informieren.


Was nicht gemeldet werden muss

    · Ressourcenerschöpfung/DoS- oder DDoS-Angriff

    · Nicht reproduzierbare Situationen

    · Exploits, die nicht durch eine zweite Methode/ein zweites Tool bestätigt werden können: Tool A meldet eine „Schwachstelle“, während Tool B „kein Problem“ anzeigt

    · Optische Probleme, wie eine schlechte Darstellung der Website in Browser A. (Solche Probleme können Sie an communicatie@anthura.nl melden.)

    · Benutzerbezogene Probleme wie unbeaufsichtigte Arbeitsplätze, Klick- oder Tastenkombinationen usw.

    · Einfache Listen und Versionsnummern von Betriebssystemen, Diensten und Ports

    · Öffentlich zugängliche Dateien, die öffentlich zugänglich sein sollen

    · Fehlendes HTTP-only-Flag bei Cookies, die keine sensiblen Informationen enthalten

    · TLS-Fehlkonfiguration ohne Nachweis, dass diese Schwachstelle ausgenutzt werden kann

    · Unvollständige oder fehlende SPF-, DKIM- oder DMARC-Einträge

    · Dienste, die von Dritten betrieben werden. (Konsultieren Sie bitte vorab deren eigene Responsible-Disclosure-Seite.)

    · Gefundene E-Mail-Adressen im Zusammenhang mit Datenschutzverletzungen Dritter

    · Schwachstellen, für die in den letzten 2 Wochen Patches veröffentlicht wurden

    · URL-Weiterleitungen (zu einer gültigen Seite)

    · Lokales Content Spoofing/Clickjacking

    · Öffentlich registrierte IP-Adressen

    · Öffentlich zugängliche Dateien und Informationslecks in Metadaten

    · Fehlende Sicherheits-Header, -Optionen und -Flags

    · Veraltete Versionen ohne Nachweis für eine Ausnutzung

    Was geschieht mit Ihrer Meldung

      · Innerhalb von 1 Werktag erhalten Sie eine E-Mail zur Bestätigung des Eingangs Ihrer Meldung.

      · Innerhalb von 5 Werktagen erhalten Sie eine ausführliche Antwort mit der geschätzten Bearbeitungszeit. Wir bemühen uns, das Problem möglichst schnell zu beheben, spätestens innerhalb von 3 Monaten.

      · Sie werden über alle relevanten Fortschritte in dieser Sache informiert.

      · Eine eventuelle Veröffentlichung der Schwachstelle erfolgt ausschließlich nach vorheriger Rücksprache mit Ihnen; und Ihren Namen nennen wir nur mit Ihrer ausdrücklichen Zustimmung.

    Security.txt

    Mit der Veröffentlichung von RFC 9116 Anfang dieses Jahres wurde ein standardisiertes Format eingeführt, mit dem Organisationen ihre Richtlinien zur Offenlegung von Sicherheitslücken sowie die entsprechenden Kontaktinformationen bereitstellen können. Hierfür wurde das Textformat security.txt entwickelt, das sowohl maschinen- als auch menschenlesbar ist und auf Websites veröffentlicht wird. Unsere security.txt-Datei finden Sie unter: https://www.anthura.nl/.well-k....