Einleitung
ADMIRAL legt höchsten Wert auf die Sicherheit ihre Produkte und Services. Schwachstellen können jedoch trotz aller Bemühungen nie vollständig beseitigt werden. Wenn Schwachstellen erkannt und ausgenutzt werden, gefährdet dies die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme von ADMIRAL und der darin verarbeiteten Informationen.
Zur verantwortungsvollen Offenlegung von Sicherheitslücken wird in dieser Richtlinie beschrieben, welche Systeme und Arten von Tests zulässig sind, und wie Meldungen von Sicherheitslücken zu übermitteln sind. Wir ermutigen Sie, sich mit uns in Verbindung zu setzen, um potenzielle Sicherheitsprobleme in unseren Systemen zu melden, indem Sie diese Richtlinie befolgen.
Diese Richtlinie soll dabei sowohl Sicherheitsforschenden als auch Unternehmen eine Hilfestellung bei der Offenlegung von Sicherheitslücken geben. Dies ist ein Bereich, in dem ADMIRAL die Zusammenarbeit extrem wichtig ist, der aber oft zu Konflikten zwischen den beiden Parteien führen kann.
Geltungsbereich
Der Geltungsbereich dieser Richtlinie bezieht sich auf tieferstehenden Domains und Schwachstellen. Die Auflistung der Domains und Schwachstellen kann sich künftig ändern und ist abschließend.
Domains
Die folgenden Domains fallen in den Geltungsbereich dieser Richtlinie:
- *.admiral-entertainment.at
- *.admiral.ag
- *.admiral.at
- *.admiral-technologies.at
Schwachstellen
Die folgenden Schwachstellen und Informationstechnik-Sicherheitslücken fallen beispielweise in den Geltungsbereich dieser Richtlinie:
- Remote Code Execution
- SQL injection vulnerabilities
- Authentication or authorization flaws
- Server-side code execution bugs
- Encryption vulnerabilities
- Cross Site Request Forgery (CSRF)
- Cross Site Scripting (XSS)
- Insecure Direct Object Reference
- Remote Code Execution (RCE) – Injection Flaws
- Information Leakage and Improper Error Handling
- Unbefugter Zugriff auf Eigenschaften oder Konten
- Daten-/Informations-Leaks
- Möglichkeit der Exfiltration von Daten / Informationen
- Aktiv ausnutzbare Hintertüren (Backdoors)
- Möglichkeit einer unautorisierten System-Nutzung
- Fehlkonfigurationen
- etc.
Nicht im Geltungsbereich
Die folgenden Schwachstellen und Informationstechnik-Sicherheitslücken fallen nicht in den Geltungsbereich dieser Richtlinie:
- Alle Systeme, die nicht im Abschnitt "Geltungsbereich" aufgeführt sind
- Informationen über Sicherheitslücken offen zu legen, außer wie im Abschnitt "Meldung einer Sicherheitslücke" beschrieben
- Physische Angriffe gegen Rechenzentren oder Eigentum der Unternehmensgruppe
- Social Engineering Angriffe die auf Mitarbeiter:innen, Kund:innen, Einrichtungen oder Auftragnehmer von ADMIRAL abzielen (zum Beispiel: das Fälschen von Anmeldeseiten, Kundenservice, Social Media)
- Verbreitung von Spam
- Denial of Service Angriffe (DoS/DDoSDistributed Denial of Service)
- Fehlende HTTP Security Header ohne spezifische Auswirkungen bzw. die nicht direkt zu einer ausnutzbaren Schwachstelle führen
- Fehler die nur durch Clickjacking ausnutzbar sind
- Self-XSS
- Schwachstellen, die eine unwahrscheinliche Benutzer:inneninteraktion erfordern (zum Beispiel: Deaktivierung von Browserschutzmaßnahmen)
- Offenlegung von Informationen die als öffentlich markiert sind
- Angriffe die einen Man-in-the-Middle erfordern
- Fehlerhafte Social-Media-Links
- Verwendung einer als anfällig oder öffentlich als gebrochen bekannten Bibliothek, ohne aktiven Nachweis der Ausnutzbarkeit
- Einreichungen von Best Practices (z.B. certificate pinning, security header).
- Berichte über (potenziellen) Betrug oder Probleme mit der Einhaltung von Vorschriften (um ein Problem mit der Einhaltung von Vorschriften zu melden, verwenden Sie bitte das NOVOTRUST-Hinweisgeberportal | ADMIRAL Österreich
- etc.
Leitlinien
DO
Bei der Durchführung Ihrer Aktivitäten ist es zwingend erforderlich, dass Sie
- sich an den Geltungsbereich dieser Richtlinie sowie die einschlägigen (datenschutz- )rechtlichen Bestimmungen halten; und
- keine Daten an die Öffentlichkeit oder an andere Parteien weitergeben, die Sie während der Entdeckung heruntergeladen haben; und
- die Schwachstelle oder das Problem erst dann der Öffentlichkeit oder anderen Parteien bekanntgeben, wenn es behoben ist; und
- Ihre Tests abbrechen, wenn Sie sensible Informationen entdecken (personenbezogene Daten, medizinische, finanzielle, geschützte Informationen oder Geschäftsgeheimnisse), uns sofort benachrichtigen, die erhaltenen Daten nicht an Dritte weitergeben und alle versehentlich erhalten sensiblen Daten sicher löschen, nachdem Sie uns informiert haben.
DO NOT
Bei der Durchführung Ihrer Aktivitäten ist es zwingend erforderlich, dass Sie folgende Handlungen unterlassen:
- Aktivität durchführen, die Schäden an den betroffenen Domains und Systemen herbeiführen oder deren Integrität, Verfügbarkeit oder Vertraulichkeit beeinträchtigen können.
Insbesondere ist Folgendes untersagt:
- Platzieren von Malware (Viren, Würmer, Trojanische Pferde usw.) auf einem System; und
- Kompromittieren von Systemen durch Exploits, um die vollständige oder teilweise Kontrolle zu erlangen; und
- Kopieren, Ändern oder Löschen von Daten auf dem System; und
- Vornehmen von Änderungen an dem System; und
- Schaffen von wiederholtem Zugang zum System; und
- Teilen von erlangtem Zugang zum System mit anderen Parteien; und
- Nutzen von erlangtem Zugang zum System, um auf andere Systeme zuzugreifen; und
- Ändern von Zugriffsrechten anderer Benutzer; und
- Ausnutzen von Ihnen entdeckten Schwachstelle oder Problemen, indem Sie z.B. mehr Daten als nötig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie die Daten anderer Personen löschen oder verändern; und
- Verwenden von automatisierten Scanning-Tools; und
- Durchführen von so genannten "Brute-Force"-Angriff, um sich Zugang zu beliebigen Systemen zu verschaffen; und
- Durchführen von Denial-of-Service-Angriffe oder Social Engineering (Phishing, Vishing, Spam usw.); und
- Durchführen von Angriffen auf die physische Sicherheit
Meldung einer Sicherheitslücke
Bitte beschreiben Sie die entdeckte Schwachstelle oder die Sicherheitslücke detailliert und wenn möglich mit Belegen, damit unsere Experten für Informationsrisiken den Befund analysieren können.
Informationen zur Sicherheitslücke
Soweit möglich, bitten wir Sie in Ihrem Bericht folgende Informationen anzugeben:
- Art der Schwachstelle oder des Problems; und
- Betroffener Dienst, Produkt, IT-System, Gerät oder URL; und
- Spezielle Konfiguration oder Anforderungen, um das Problem zu reproduzieren; und
- Informationen, die zur Reproduktion des Problems erforderlich sind; und
- Auswirkungen der Schwachstelle sowie eine Erklärung, wie ein Angreifer sie finden und ausnutzen könnte
Anonyme Meldung einer Sicherheitslücke
Bei Verwendung des NOVOTRUST-Hinweisgeberportal | ADMIRAL Österreich können anonyme Meldungen, bspw. zu Datenschutz, Code of Conduct odgl., erstattet werden. Der Schutz der Anonymität gilt in dem gesetzlich zulässigen Ausmaß.
Nicht-Anonyme Meldung einer Sicherheitslücke
Nicht-anonyme Meldungen sind per E-Mail an disclosure@admiral.at zu erstatten.
Nach der Meldung
Unsere Analysten für Informationsrisiken werden den Fund bewerten und so schnell wie möglich darauf reagieren. Jeder Fall wird einzeln analysiert. Wir bitten Sie, uns die angemessene Gelegenheit und Zeit für diese Analyse zu geben, die Informationen vertraulich zu behandeln und die Schwachstelle nicht ohne Rücksprache mit unseren Analysten der Öffentlichkeit oder anderen Parteien bekanntzugeben, ADMIRAL wird Sie über den Fortschritt der Untersuchung auf dem Laufenden halten, soweit dies möglich und angemessen ist.
Nach der ersten Analyse der Meldung können wir weitere Informationen, Beweise und Belege im Zusammenhang mit Ihren Feststellungen anfordern. Wenn der Bericht sensibel ist und/oder personenbezogene Daten enthält, können wir Sie anweisen, Informationen unter Verwendung von Verschlüsselungscodes auszutauschen, um die Vertraulichkeit und Sicherheit der Kommunikation zu gewährleisten, und Ihnen weitere Anweisungen geben, wie Sie personenbezogene Daten sicher entsorgen können.
Für anonyme Meldungen über das NOVOTRUST-Hinweisgeberportal wird der zuständige Hinweisgeberofficer benachrichtigt und gemäß den aktuellen Richtlinien den Fall bearbeiten und/oder weiterleiten. In Abhängigkeit der Betroffenheit und Kritikalität, verpflichtet sich ADMIRAL alle relevanten Interessensgruppen über die drohenden Gefahren zeitnah aufzuklären. Eine drohende Gefahr liegt insbesondere dann vor, wenn eine Schwachstelle mit einem CVSS-Score von 7.0 oder höher identifiziert wird.
Version 2.00, Stand per 15. Oktober 2024