Transparenzrichtlinie

1.1 Allgemeine Erklärung

Bei Software AG, ensuring the safety and security of our systems and application platforms is paramount. We prioritize data security and appreciate the efforts of security researchers who contribute to maintaining our high standards.

If you are a security researcher and have identified a potential security vulnerability in our systems or applications, we encourage you to report it to us responsibly. The Software AG security team highly values the critical role that independent security researchers play in enhancing Internet security. We are committed to collaborating with researchers to verify and address any reported vulnerabilities in a responsible manner.

Bevor Sie mit Tests beginnen oder eine Schwachstelle melden, lesen Sie bitte diese Richtlinie sorgfältig durch. Wir versichern Ihnen, dass alle berechtigten Meldungen gründlich untersucht werden und wir alle Anstrengungen unternehmen, um bestätigte Probleme umgehend zu beheben.

Sie verpflichten sich, eine angebliche oder noch nicht behobene Sicherheitslücke nicht an Dritte weiterzugeben, zu teilen oder zu veröffentlichen.

Bitte beachten Sie, dass dieses Programm keine finanziellen Belohnungen für die Meldung von Sicherheitslücken vorsieht.

Thank you for helping us keep Software AG secure.

1.2 Meldung einer potenziellen Sicherheitslücke

To report a potential security vulnerability, please privately share the details with Software AG by sending an email to csirt@softwareag.com with “Software AG – Potential Security Vulnerability” in the subject line. Ensure that you provide comprehensive details of the suspected vulnerability to enable our security team to validate and reproduce the issue effectively.

Please note that duplicates may occur if the vulnerability is already known to Software AG, either through prior reports from other researchers or identification by our security teams. In such cases, we will recognize the first report received as the unique submission, and any subsequent reports of the same issue will be marked as duplicates.

1.3 Merkmale eines guten Berichts 

Um unserem Sicherheitsteam die effektive Bearbeitung der gemeldeten Sicherheitslücke zu ermöglichen, fügen Sie Ihrem Bericht bitte die folgenden Angaben bei:

  • Schritte zur Reproduktion*: Geben Sie detaillierte, Schritt-für-Schritt-Anleitungen an, wie die
    Sicherheitslücke reproduziert werden kann.
  • Relevante Links und URLs*: Bitte fügen Sie alle angeklickten Links, besuchten Seiten und die konkret beteiligten URLs bei.
  • Umgebungsdetails* Geben Sie die Umgebung an, in der die Sicherheitslücke entdeckt wurde, einschließlich Betriebssystem, Browser und aller relevanten Softwareversionen.
  • Benutzerinformationen: Geben Sie alle verwendeten Benutzer‑IDs oder Konten an und beschreiben Sie klar deren Beziehungen und Interaktionen.
  • Visuelle Hilfsmittel Fügen Sie Bilder oder Videos bei, die das Problem veranschaulichen, da diese für die Analyse sehr hilfreich sein können.
  • Auswirkungsbewertung Beschreiben Sie die potenziellen Auswirkungen der Sicherheitslücke, einschließlich möglicher Risiken und Schäden.
  • Technische Details: Stellen Sie alle technischen Informationen oder Codebeispiele bereit, die zum Verständnis der Sicherheitslücke beitragen können.
  • Zeitplan Geben Sie das Datum und die Uhrzeit an, zu der die Sicherheitslücke entdeckt wurde, sowie alle nachfolgenden Tests, die durchgeführt wurden.
  • Vorschläge zur Behebung Geben Sie, sofern möglich, erste Vorschläge zur Minderung oder Behebung des Problems.
  • Vertraulichkeitsanfrage Geben Sie an, ob Ihr Bericht vertraulich behandelt werden soll.

Durch die Angabe dieser Details tragen Sie dazu bei, dass unser Team die Sicherheitslücke schnell überprüfen und beheben kann.

Als Pflichtangaben gelten alle mit * gekennzeichneten Punkte.

1.4 Verhalten

We encourage responsible discovery and reporting of vulnerabilities. However, to ensure a safe and productive collaboration, the following conduct is expected. If you adhere to this policy when reporting a potential security vulnerability to Software AG, we will not pursue legal action or law enforcement investigation against you in response to your report. We ask that you:

  • Angemessene Zeit zur Behebung gewähren Gewähren Sie uns ausreichend Zeit, um jede gemeldete Sicherheitslücke zu untersuchen und zu beheben, bevor Sie sie öffentlich machen oder an Dritte weitergeben. Je nach Komplexität des Problems kann dies 90 Tage oder länger dauern.
  • Kundendaten respektieren Do not interact with, modify, or access data from a Software AG customer or potential customer without their explicit consent.
  • Verletzungen der Privatsphäre und Störungen vermeiden Unternehmen Sie alle angemessenen Anstrengungen, um Verletzungen der Privatsphäre, Datenverlust oder Unterbrechungen bzw. Beeinträchtigungen unserer Dienste zu vermeiden.
  • Sicherheitslücken nicht ausnutzen Unterlassen Sie die Ausnutzung jeglicher entdeckter Sicherheitslücken. Dies schließt das Aufzeigen zusätzlicher Risiken oder das gezielte Suchen nach weiteren Problemen ein, wie etwa der Versuch, auf sensible Unternehmensdaten zuzugreifen.
  • Einhaltung von Gesetzen und Vorschriften Stellen Sie sicher, dass Sie bei Ihrer Forschung keine geltenden Gesetze oder Vorschriften verletzen.

Durch die Einhaltung dieser Richtlinien tragen Sie dazu bei, ein sicheres und kooperatives Umfeld für die Meldung von Sicherheitslücken zu gewährleisten.

1.5 Verbotene Aktivitäten

Software AG does not permit the following types of security research:

  • Maßnahmen mit negativem Einfluss Performing actions that may negatively affect Software AG or its users, such as spam, brute force attacks, denial of service (DoS) attacks, etc.
  • Unbefugter Datenzugriff Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
  • Datenzerstörung oder -beschädigung Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
  • Angriffe auf Personal oder Eigentum Conducting any kind of physical or electronic attack on Software AG personnel, property, or data centers.
  • Social Engineering: Engaging in social engineering tactics against any Software AG support desk, employee, or contractor.
  • Einsatz von hochleistungsfähigen automatisierten Werkzeugen: Einsatz von hochdurchsatzfähigen automatisierten Werkzeugen, die erheblichen Datenverkehr erzeugen und Dienste stören können.
  • Rechts- und Vertragsverstöße: Verletzung von Gesetzen oder Bruch von Vereinbarungen, um Sicherheitslücken zu entdecken.

1.6 Ausnahmen vom Programm

Obwohl wir jede Meldung begrüßen, die die Sicherheit unserer Produkte und Dienstleistungen betrifft, sind die folgenden Beispiele von diesem Programm ausgeschlossen, sofern keine Nachweise vorgelegt werden, die eine Ausnutzbarkeit belegen:

  • Clickjacking / UI‑Redressing ohne praktische sicherheitsrelevante Auswirkungen
  • Inhaltsspoofing / Texteinschleusung
  • Offenlegung von Softwareversionen
  • Self‑XSS (Cross‑Site‑Scripting‑Probleme müssen über reflektierte, gespeicherte oder DOM‑basierte Angriffe ausnutzbar sein, um als gültig zu gelten)
  • Abmeldungen und andere Fälle von Cross‑Site Request Forgery (CSRF) mit geringer Schwere
  • Richtlinien zur Passwort- und Kontowiederherstellung, wie Ablauf von Rücksetzlinks oder Passwortkomplexität
  • Cross-Site-Tracing (XST)
  • Open Redirects mit geringer Sicherheitsauswirkung (Ausnahmen sind Fälle mit höherer Auswirkung, z. B. Diebstahl von OAuth‑Tokens)
  • Fehlende HTTP-Sicherheitsheader
  • Fehlende Cookie-Flags bei nicht-sensiblen Cookies
  • Ungültige oder fehlende SPF‑(Sender Policy Framework)‑Einträge (unvollständige oder fehlende SPF/DKIM)
  • Sicherheitslücken, die nur Benutzer veralteter oder ungepatchter Browser und Plattformen betreffen
  • Fehlende Best Practices bei der SSL/TLS-Konfiguration
  • Sicherheitslücken, die das Deaktivieren standardmäßig aktivierter Sicherheitsfunktionen erfordern
  • Comma-Separated-Values-(CSV)-Injection ohne Nachweis einer ausnutzbaren Sicherheitslücke
  • Verwendung bekannter, verwundbarer Bibliotheken ohne Nachweis der Ausnutzbarkeit, z. B. OpenSSL
  • Angriffe, die Man-in-the-Middle (MITM) oder physischen Zugriff auf ein Benutzergerät erfordern

1.7 Engagement

Software AG greatly appreciates the efforts of security researchers who identify vulnerabilities and enable us to address issues that might affect our customers. We thank you for your dedication to helping us minimize risks to our customers and supporting our vision to enhance the overall security of our products and the Internet as a whole.