Transparenzrichtlinie

1.1 Allgemeine Erklärung

Bei der Software AG hat die Gewährleistung der Sicherheit unserer Systeme und Anwendungsplattformen höchste Priorität. Wir legen großen Wert auf Datensicherheit und schätzen die Bemühungen von Sicherheitsforschern, die dazu beitragen, unsere hohen Standards aufrechtzuerhalten.

Wenn Sie als Sicherheitsforscher eine potenzielle Sicherheitslücke in unseren Systemen oder Anwendungen identifiziert haben, bitten wir Sie, uns diese verantwortungsvoll zu melden. Das Sicherheitsteam der Software AG schätzt die wichtige Rolle, die unabhängige Sicherheitsforscher bei der Verbesserung der Internetsicherheit spielen. Wir verpflichten uns, mit Forschern zusammenzuarbeiten, um gemeldete Schwachstellen auf verantwortungsvolle Weise zu überprüfen und zu beheben.

Bevor Sie mit Tests beginnen oder eine Schwachstelle melden, lesen Sie bitte diese Richtlinie sorgfältig durch. Wir versichern Ihnen, dass alle berechtigten Meldungen gründlich untersucht werden und wir alle Anstrengungen unternehmen, um bestätigte Probleme umgehend zu beheben.

Sie verpflichten sich, eine angebliche oder noch nicht behobene Sicherheitslücke nicht an Dritte weiterzugeben, zu teilen oder zu veröffentlichen.

Bitte beachten Sie, dass dieses Programm keine finanziellen Belohnungen für die Meldung von Sicherheitslücken vorsieht.

Vielen Dank, dass Sie uns dabei unterstützen, die Software AG sicher zu halten.

---

1.2 Reporting a Potential Security Vulnerability

Um eine potenzielle Sicherheitslücke zu melden, teilen Sie die Details bitte vertraulich mit der Software AG, indem Sie bitte eine E-Mail an csirt@softwareag.com mit Betreff „Software AG – Potenzielle Sicherheitslücke“ senden. Stellen Sie sicher, dass Sie umfassende Details zur vermuteten Sicherheitslücke angeben, damit unser Sicherheitsteam das Problem effektiv überprüfen und reproduzieren kann.

Bitte beachten Sie, dass Duplikate auftreten können, wenn die Sicherheitslücke der Software AG bereits bekannt ist, sei es durch frühere Meldungen anderer Forscher oder durch Entdeckung durch unsere Sicherheitsteams. In solchen Fällen wird die zuerst eingegangene Meldung als die eindeutige Einreichung anerkannt, und alle nachfolgenden Meldungen desselben Problems werden als Duplikate gekennzeichnet.

---

1.3 Attributes of a Good Report 

Um unserem Sicherheitsteam die effektive Bearbeitung der gemeldeten Sicherheitslücke zu ermöglichen, fügen Sie Ihrem Bericht bitte die folgenden Angaben bei:

• Schritte zur Reproduktion*: Geben Sie detaillierte, Schritt-für-Schritt-Anleitungen an, wie die
  Sicherheitslücke reproduziert werden kann.
• Relevante Links und URLs*: Bitte fügen Sie alle angeklickten Links, besuchten Seiten und die konkret beteiligten URLs bei.
• Umgebungsdetails* Geben Sie die Umgebung an, in der die Sicherheitslücke entdeckt wurde, einschließlich Betriebssystem, Browser und aller relevanten Softwareversionen.
• Benutzerinformationen: Geben Sie alle verwendeten Benutzer‑IDs oder Konten an und beschreiben Sie klar deren Beziehungen und Interaktionen.
• Visuelle Hilfsmittel Fügen Sie Bilder oder Videos bei, die das Problem veranschaulichen, da diese für die Analyse sehr hilfreich sein können.
• Auswirkungsbewertung Beschreiben Sie die potenziellen Auswirkungen der Sicherheitslücke, einschließlich möglicher Risiken und Schäden.
• Technische Details: Stellen Sie alle technischen Informationen oder Codebeispiele bereit, die zum Verständnis der Sicherheitslücke beitragen können.
• Zeitplan Geben Sie das Datum und die Uhrzeit an, zu der die Sicherheitslücke entdeckt wurde, sowie alle nachfolgenden Tests, die durchgeführt wurden.
• Vorschläge zur Behebung Geben Sie, sofern möglich, erste Vorschläge zur Minderung oder Behebung des Problems.
• Vertraulichkeitsanfrage Geben Sie an, ob Ihr Bericht vertraulich behandelt werden soll.

By including these details, you will help ensure that our team can promptly validate and address the vulnerability.

Als Pflichtangaben gelten alle mit * gekennzeichneten Punkte.

---

1.4 Conduct

Wir fördern die verantwortungsbewusste Entdeckung und Meldung von Sicherheitslücken. Um jedoch eine sichere und produktive Zusammenarbeit zu gewährleisten, erwarten wir folgendes Verhalten. Wenn Sie sich beim Melden einer potenziellen Sicherheitslücke an die Software AG an diese Richtlinie halten, werden wir keine rechtlichen Schritte oder Ermittlungen durch Strafverfolgungsbehörden gegen Sie einleiten. Wir bitten Sie:

• Angemessene Zeit zur Behebung gewähren Gewähren Sie uns ausreichend Zeit, um jede gemeldete Sicherheitslücke zu untersuchen und zu beheben, bevor Sie sie öffentlich machen oder an Dritte weitergeben. Je nach Komplexität des Problems kann dies 90 Tage oder länger dauern.
• Kundendaten respektieren Greifen Sie nicht auf Daten von Kunden oder potenziellen Kunden der Software AG zu, verändern Sie diese nicht und interagieren Sie nicht damit, ohne deren ausdrückliche Zustimmung.
• Verletzungen der Privatsphäre und Störungen vermeiden Unternehmen Sie alle angemessenen Anstrengungen, um Verletzungen der Privatsphäre, Datenverlust oder Unterbrechungen bzw. Beeinträchtigungen unserer Dienste zu vermeiden.
• Sicherheitslücken nicht ausnutzen Unterlassen Sie die Ausnutzung jeglicher entdeckter Sicherheitslücken. Dies schließt das Aufzeigen zusätzlicher Risiken oder das gezielte Suchen nach weiteren Problemen ein, wie etwa der Versuch, auf sensible Unternehmensdaten zuzugreifen.
• Einhaltung von Gesetzen und Vorschriften Stellen Sie sicher, dass Sie bei Ihrer Forschung keine geltenden Gesetze oder Vorschriften verletzen.

By following these guidelines, you help maintain a secure and cooperative environment for vulnerability disclosure.

---

1.5 Prohibited Activities

Software AG does not permit the following types of security research:

• Maßnahmen mit negativem Einfluss Performing actions that may negatively affect Software AG or its users, such as spam, brute force attacks, denial of service (DoS) attacks, etc.
• Unauthorized DatenzugriffDie Fähigkeit, Daten aus Quellsystemen abzurufen oder zu aktualisieren, idealerweise über Standard-Schnittstellen anstelle von individuellem Punkt-zu-Punkt-Code.Vollständige Definition lesen ↗: Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
• Datenzerstörung oder -beschädigung Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
• Angriffe auf Personal oder Eigentum Durchführung jeglicher Art physischer oder elektronischer Angriffe auf Mitarbeiter, Eigentum oder Rechenzentren der Software AG.
• Social Engineering: Verwenden Sie keine Social‑Engineering‑Taktiken gegenüber dem Supportdesk, Mitarbeitenden oder Auftragnehmern der Software AG.
• Use of High-ThroughputDie Menge an Arbeit, die ein System in einer gegebenen Zeit verarbeiten kann, wie z. B. Transaktionen oder Datenanfragen pro Sekunde.Vollständige Definition lesen ↗ Automated Tools: Einsatz von hochdurchsatzfähigen automatisierten Werkzeugen, die erheblichen Datenverkehr erzeugen und Dienste stören können.
• Rechts- und Vertragsverstöße: Verletzung von Gesetzen oder Bruch von Vereinbarungen, um Sicherheitslücken zu entdecken.

---

1.6 Ausnahmen vom Programm

While we encourage any submission affecting the security of our products and services, unless evidence is provided demonstrating exploitability, the following examples are excluded from this program:

• Clickjacking/UI redressing with no practical security impact
• Inhaltsspoofing / Texteinschleusung
• Offenlegung von Softwareversionen
• Self‑XSS (Cross‑Site‑Scripting‑Probleme müssen über reflektierte, gespeicherte oder DOM‑basierte Angriffe ausnutzbar sein, um als gültig zu gelten)
• Abmeldungen und andere Fälle von Cross‑Site Request Forgery (CSRF) mit geringer Schwere
• Richtlinien zur Passwort- und Kontowiederherstellung, wie Ablauf von Rücksetzlinks oder Passwortkomplexität
• Cross-Site-Tracing (XST)
• Open Redirects mit geringer Sicherheitsauswirkung (Ausnahmen sind Fälle mit höherer Auswirkung, z. B. Diebstahl von OAuth‑Tokens)
• Fehlende HTTP-Sicherheitsheader
• Fehlende Cookie-Flags bei nicht-sensiblen Cookies
• Ungültige oder fehlende SPF‑(Sender Policy Framework)‑Einträge (unvollständige oder fehlende SPF/DKIM)
• Sicherheitslücken, die nur Benutzer veralteter oder ungepatchter Browser und Plattformen betreffen
• Fehlende Best Practices bei der SSL/TLS-Konfiguration
• Sicherheitslücken, die das Deaktivieren standardmäßig aktivierter Sicherheitsfunktionen erfordern
• Comma-Separated-Values-(CSV)-Injection ohne Nachweis einer ausnutzbaren Sicherheitslücke
• Verwendung bekannter, verwundbarer Bibliotheken ohne Nachweis der Ausnutzbarkeit, z. B. OpenSSL
• Attacks requiring MITM (Man-in-the-Middle) or physical access to a user’s device

---

1.7 Commitment

Software AG greatly appreciates the efforts of security researchers who identify vulnerabilities and enable us to address issues that might affect our customers. We thank you for your dedication to helping us minimize risks to our customers and supporting our vision to enhance the overall security of our products and the Internet as a whole.