Transparenzrichtlinie

1.1 Allgemeine Erklärung

Bei der Software AG hat die Gewährleistung der Sicherheit unserer Systeme und Anwendungsplattformen höchste Priorität. Wir legen großen Wert auf Datensicherheit und schätzen die Bemühungen von Sicherheitsforschern, die dazu beitragen, unsere hohen Standards aufrechtzuerhalten.

Wenn Sie als Sicherheitsforscher eine potenzielle Sicherheitslücke in unseren Systemen oder Anwendungen identifiziert haben, bitten wir Sie, uns diese verantwortungsvoll zu melden. Das Sicherheitsteam der Software AG schätzt die wichtige Rolle, die unabhängige Sicherheitsforscher bei der Verbesserung der Internetsicherheit spielen. Wir verpflichten uns, mit Forschern zusammenzuarbeiten, um gemeldete Schwachstellen auf verantwortungsvolle Weise zu überprüfen und zu beheben.

Bevor Sie mit Tests beginnen oder eine Schwachstelle melden, lesen Sie bitte diese Richtlinie sorgfältig durch. Wir versichern Ihnen, dass alle berechtigten Meldungen gründlich untersucht werden und wir alle Anstrengungen unternehmen, um bestätigte Probleme umgehend zu beheben.

Sie verpflichten sich, eine angebliche oder noch nicht behobene Sicherheitslücke nicht an Dritte weiterzugeben, zu teilen oder zu veröffentlichen.

Bitte beachten Sie, dass dieses Programm keine finanziellen Belohnungen für die Meldung von Sicherheitslücken vorsieht.

Vielen Dank, dass Sie uns dabei unterstützen, die Software AG sicher zu halten.

1.2 Meldung einer potenziellen Sicherheitslücke

Um eine potenzielle Sicherheitslücke zu melden, teilen Sie die Details bitte vertraulich mit der Software AG, indem Sie bitte eine E-Mail an csirt@softwareag.com mit Betreff „Software AG – Potenzielle Sicherheitslücke“ senden. Stellen Sie sicher, dass Sie umfassende Details zur vermuteten Sicherheitslücke angeben, damit unser Sicherheitsteam das Problem effektiv überprüfen und reproduzieren kann.

Bitte beachten Sie, dass Duplikate auftreten können, wenn die Sicherheitslücke der Software AG bereits bekannt ist, sei es durch frühere Meldungen anderer Forscher oder durch Entdeckung durch unsere Sicherheitsteams. In solchen Fällen wird die zuerst eingegangene Meldung als die eindeutige Einreichung anerkannt, und alle nachfolgenden Meldungen desselben Problems werden als Duplikate gekennzeichnet.

1.3 Merkmale eines guten Berichts 

Um unserem Sicherheitsteam die effektive Bearbeitung der gemeldeten Sicherheitslücke zu ermöglichen, fügen Sie Ihrem Bericht bitte die folgenden Angaben bei:

  • Schritte zur Reproduktion*: Geben Sie detaillierte, Schritt-für-Schritt-Anleitungen an, wie die
    Sicherheitslücke reproduziert werden kann.
  • Relevante Links und URLs*: Bitte fügen Sie alle angeklickten Links, besuchten Seiten und die konkret beteiligten URLs bei.
  • Umgebungsdetails* Geben Sie die Umgebung an, in der die Sicherheitslücke entdeckt wurde, einschließlich Betriebssystem, Browser und aller relevanten Softwareversionen.
  • User Information: Geben Sie alle verwendeten Benutzer‑IDs oder Konten an und beschreiben Sie klar deren Beziehungen und Interaktionen.
  • Visuelle Hilfsmittel Fügen Sie Bilder oder Videos bei, die das Problem veranschaulichen, da diese für die Analyse sehr hilfreich sein können.
  • Auswirkungsbewertung Beschreiben Sie die potenziellen Auswirkungen der Sicherheitslücke, einschließlich möglicher Risiken und Schäden.
  • Technische Details: Stellen Sie alle technischen Informationen oder Codebeispiele bereit, die zum Verständnis der Sicherheitslücke beitragen können.
  • Zeitplan Geben Sie das Datum und die Uhrzeit an, zu der die Sicherheitslücke entdeckt wurde, sowie alle nachfolgenden Tests, die durchgeführt wurden.
  • Vorschläge zur Behebung Geben Sie, sofern möglich, erste Vorschläge zur Minderung oder Behebung des Problems.
  • Vertraulichkeitsanfrage Geben Sie an, ob Ihr Bericht vertraulich behandelt werden soll.

Durch die Angabe dieser Details tragen Sie dazu bei, dass unser Team die Sicherheitslücke schnell überprüfen und beheben kann.

Als Pflichtangaben gelten alle mit * gekennzeichneten Punkte.

1.4 Conduct

Wir fördern die verantwortungsbewusste Entdeckung und Meldung von Sicherheitslücken. Um jedoch eine sichere und produktive Zusammenarbeit zu gewährleisten, erwarten wir folgendes Verhalten. Wenn Sie sich beim Melden einer potenziellen Sicherheitslücke an die Software AG an diese Richtlinie halten, werden wir keine rechtlichen Schritte oder Ermittlungen durch Strafverfolgungsbehörden gegen Sie einleiten. Wir bitten Sie:

  • Angemessene Zeit zur Behebung gewähren Gewähren Sie uns ausreichend Zeit, um jede gemeldete Sicherheitslücke zu untersuchen und zu beheben, bevor Sie sie öffentlich machen oder an Dritte weitergeben. Je nach Komplexität des Problems kann dies 90 Tage oder länger dauern.
  • Kundendaten respektieren Greifen Sie nicht auf Daten von Kunden oder potenziellen Kunden der Software AG zu, verändern Sie diese nicht und interagieren Sie nicht damit, ohne deren ausdrückliche Zustimmung.
  • Verletzungen der Privatsphäre und Störungen vermeiden Unternehmen Sie alle angemessenen Anstrengungen, um Verletzungen der Privatsphäre, Datenverlust oder Unterbrechungen bzw. Beeinträchtigungen unserer Dienste zu vermeiden.
  • Sicherheitslücken nicht ausnutzen Unterlassen Sie die Ausnutzung jeglicher entdeckter Sicherheitslücken. Dies schließt das Aufzeigen zusätzlicher Risiken oder das gezielte Suchen nach weiteren Problemen ein, wie etwa der Versuch, auf sensible Unternehmensdaten zuzugreifen.
  • Einhaltung von Gesetzen und Vorschriften Stellen Sie sicher, dass Sie bei Ihrer Forschung keine geltenden Gesetze oder Vorschriften verletzen.

Durch die Einhaltung dieser Richtlinien tragen Sie dazu bei, ein sicheres und kooperatives Umfeld für die Meldung von Sicherheitslücken zu gewährleisten.

1.5 Verbotene Aktivitäten

Die Software AG gestattet keine folgenden Arten von Sicherheitsforschung:

  • Maßnahmen mit negativem Einfluss Durchführen von Handlungen, die die Software AG oder ihre Nutzer negativ beeinträchtigen könnten, wie Spam, Brute-Force-Angriffe, Denial-of-Service-(DoS)-Angriffe usw.
  • Unbefugter Datenzugriff Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
  • Datenzerstörung oder -beschädigung Zugriff auf oder der Versuch des Zugriffs auf Daten oder Informationen, die Ihnen nicht gehören.
  • Angriffe auf Personal oder Eigentum Durchführung jeglicher Art physischer oder elektronischer Angriffe auf Mitarbeiter, Eigentum oder Rechenzentren der Software AG.
  • Social Engineering: Verwenden Sie keine Social‑Engineering‑Taktiken gegenüber dem Supportdesk, Mitarbeitenden oder Auftragnehmern der Software AG.
  • Einsatz von hochleistungsfähigen automatisierten Werkzeugen: Einsatz von hochdurchsatzfähigen automatisierten Werkzeugen, die erheblichen Datenverkehr erzeugen und Dienste stören können.
  • Rechts- und Vertragsverstöße: Verletzung von Gesetzen oder Bruch von Vereinbarungen, um Sicherheitslücken zu entdecken.

1.6 Ausnahmen vom Programm

Obwohl wir jede Meldung begrüßen, die die Sicherheit unserer Produkte und Dienstleistungen betrifft, sind die folgenden Beispiele von diesem Programm ausgeschlossen, sofern keine Nachweise vorgelegt werden, die eine Ausnutzbarkeit belegen:

  • Clickjacking / UI‑Redressing ohne praktische sicherheitsrelevante Auswirkungen
  • Inhaltsspoofing / Texteinschleusung
  • Offenlegung von Softwareversionen
  • Self‑XSS (Cross‑Site‑Scripting‑Probleme müssen über reflektierte, gespeicherte oder DOM‑basierte Angriffe ausnutzbar sein, um als gültig zu gelten)
  • Abmeldungen und andere Fälle von Cross‑Site Request Forgery (CSRF) mit geringer Schwere
  • Richtlinien zur Passwort- und Kontowiederherstellung, wie Ablauf von Rücksetzlinks oder Passwortkomplexität
  • Cross-Site-Tracing (XST)
  • Open Redirects mit geringer Sicherheitsauswirkung (Ausnahmen sind Fälle mit höherer Auswirkung, z. B. Diebstahl von OAuth‑Tokens)
  • Fehlende HTTP-Sicherheitsheader
  • Fehlende Cookie-Flags bei nicht-sensiblen Cookies
  • Ungültige oder fehlende SPF‑(Sender Policy Framework)‑Einträge (unvollständige oder fehlende SPF/DKIM)
  • Sicherheitslücken, die nur Benutzer veralteter oder ungepatchter Browser und Plattformen betreffen
  • Fehlende Best Practices bei der SSL/TLS-Konfiguration
  • Sicherheitslücken, die das Deaktivieren standardmäßig aktivierter Sicherheitsfunktionen erfordern
  • Comma-Separated-Values-(CSV)-Injection ohne Nachweis einer ausnutzbaren Sicherheitslücke
  • Verwendung bekannter, verwundbarer Bibliotheken ohne Nachweis der Ausnutzbarkeit, z. B. OpenSSL
  • Angriffe, die Man-in-the-Middle (MITM) oder physischen Zugriff auf ein Benutzergerät erfordern

1.7 Engagement

Die Software AG schätzt die Bemühungen von Sicherheitsforschern sehr, die Sicherheitslücken identifizieren und uns ermöglichen, Probleme zu beheben, die unsere Kunden betreffen könnten. Wir danken Ihnen für Ihr Engagement, uns dabei zu helfen, die Risiken für unsere Kunden zu minimieren, und für Ihre Unterstützung unserer Vision, die Sicherheit unserer Produkte und des Internets insgesamt zu verbessern.