Vulnerability Disclosure Policy (VDP)
Der Kanton Aargau schätzt die wichtige Rolle unabhängiger Sicherheitsforscher, die ethisch handeln, um die Sicherheit unserer eigenen Daten, jene der Bürgerinnen und Bürger sowie unserer Kundinnen und Kunden zu gewährleisten. Wir begrüssen daher Meldungen zu Schwachstellen in den digitalen Assets, die wir besitzen, betreiben oder warten.
In dieser Policy werden die Schritte zur Meldung von Schwachstellen beschrieben. Bitte lesen Sie die Policy sorgfältig durch, bevor Sie unsere Systeme auf Sicherheitslücken testen oder diese melden. Wir verpflichten uns dazu, proaktiv mit Sicherheitsforschern zusammenzuarbeiten, um die gemeldeten Schwachstellen zu überprüfen und zu beheben.
Scope
- *.ag.ch
- *.ktag.ch
Out of Scope
Bitte beachten Sie, dass
- wir für einige Teile unserer Systeme und Infrastruktur Dienste von anderen Unternehmen und/oder Organisationen nutzen.
- es einige Systeme in unserer Infrastruktur gibt, die nicht direkt unter unserer Kontrolle stehen.
Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sind dem entsprechenden Anbieter oder der zuständigen Behörde zu melden. Sollten diese dennoch über diesen Kanal eingereicht werden, leiten wir die Schwachstelle an die relevante Organisation weiter. Der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Massnahmen zur Behebung verantwortlich.
Unsere Verpflichtung
Bei der Zusammenarbeit mit uns anhand dieser Policy, verpflichten wir uns zu folgendem:
- Zeitnahe Reaktion, um den Eingang der Schwachstellenmeldung zu bestätigen
- Proaktive Zusammenarbeit, um die Meldung nachvollziehen zu können und zu validieren
- Offener Dialog, um allfällige Probleme oder Herausforderungen zu besprechen
- Eine möglichst zeitnahe Behebung der entdeckten Schwachstellen
- Einschätzung des Zeitrahmens für die Bearbeitung der Schwachstellenmeldung
- Auf dem Laufenden halten über den Fortschritt des Bearbeitungsprozesses der Schwachstelle
- Benachrichtigung, wenn die Schwachstelle behoben wurde
- Würdigung, wenn Sie als Erster eine einzigartige Schwachstelle melden und Ihre Meldung eine Code- oder Konfigurationsänderung nach sich zieht
- Bereitstellung eines Legal Safe Harbors mittels dieser Policy, um das proaktive Finden von Schwachstellen zu ermöglichen
Unsere Erwartungen
Bei der Teilnahme an unserem Schwachstellen-Meldungsprogramm bitten wir Sie:
- Sich an die Regeln und Anweisungen zu halten, die in dieser Policy beschrieben sind
- In der Zusammenarbeit und daraus resultierenden Meldungen keine geltenden Gesetze zu verletzen
- Jede entdeckte Schwachstelle umgehend zu melden
- Die entdeckten Schwachstellen nicht auszunutzen oder anderweitig zu verwenden, ausser zum Zweck der Meldung an uns
- Die Privatsphäre anderer zu respektieren, unsere Systeme nicht zu stören, Daten nicht zu zerstören und andere Benutzer der Systeme nicht zu beeinträchtigen
- Nur die offiziellen Kanäle zur Meldung zu nutzen, um Informationen bezüglich Schwachstellen mit uns zu besprechen
- Die Vertraulichkeit von Details zu entdeckten Schwachstellen gemäss dieser Policy zu gewährleisten
- Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Den Zugriff limitieren auf das absolute Minimum für die Demonstration der Schwachstelle, das Testen einzustellen und sofort eine Meldung einzureichen
- Nur mit Testkonten zu interagieren, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung vom Kontoinhaber haben
- Keine Forderungen mit der Meldung zu stellen
- Uns eine angemessene Frist (90 Tage ab der ersten Meldung) zur Behebung des Problems zu geben
- Eine Veröffentlichung von Schwachstellen mit uns zu koordinieren
Der Kanton Aargau erlaubt keine der folgenden Arten von Sicherheitstests
Wir ermutigen sie, uns alle von Ihnen entdeckten Schwachstellen zu melden, folgenden Aktivitäten sind im Rahmen dieser Policy aber strikt untersagt:
- Handlungen, die unsere Systeme oder unsere Kunden negativ beeinträchtigen können (z. B. Phishing, Spam, Brute-Force-Angriffe, Denial-of-Service usw.)
- Zerstörung oder Beschädigung von Daten oder Informationen, die Ihnen nicht gehören, oder der Versuch dazu
- Durchführung von physischen oder anderweitigen Angriffen auf unser Personal, Eigentum, Gebäude oder Infrastruktur
- Social Engineering gegenüber unseren Mitarbeitern, Kunden oder Auftragnehmern
Koordinierte Offenlegung von Schwachstellen
Wir schätzen die Bemühungen externer Sicherheitsforscher, die Schwachstellen identifizieren und diese verantwortungsbewusst offenlegen, damit sie behoben werden können.
Unsere Policy erlaubt die Veröffentlichung, sofern die folgenden Bedingungen erfüllt sind (Koordinierte Offenlegung von Schwachstellen):
- Die meldende Person darf die Schwachstelle nicht veröffentlichen, bevor wir bestätigt haben, dass diese Behoben ist und eine Offenlegung von unserer Seite akzeptiert wurde.
- Eine Veröffentlichung wird nach 90 Tagen akzeptiert, sofern eine Koordination mit uns stattgefunden hat.
- Es darf keine Veröffentlichung genauer Details des Problems erfolgen, wie z. B. Exploits oder Proof-of-Concept-Code.
Offizielle Kanäle
Bitte melden Sie Schwachstellen über https://app.bugbounty.ch/public/engagement/details/c1788598-bb0b-4e93-8812-27f5712d7aaf und geben Sie alle relevanten Informationen an. Bitte reichen Sie keine Berichte von automatisierten Tools ein, ohne diese zu überprüfen. Je mehr der folgenden Details Sie bereitstellen, desto einfacher wird es für uns sein, das Problem zu analysieren und zu beheben:
- Technische Beschreibung der Schwachstelle, einschliesslich:
- Verwendete Browserinformationen (Typ und Version)
- Relevante Informationen zu verbundenen Komponenten und Geräten
- Betroffene Plattform(en) und URL(s)
- Beispielcode zur Demonstration der Schwachstelle und/oder detaillierte Schritte zur Reproduktion
- Bedrohungs-/Risikobewertung
- Datum und Uhrzeit der Entdeckung
- Kontaktinformationen
- Allfällige Pläne für eine Veröffentlichung, falls dies angestrebt wird
Bitte beachten Sie, dass diese Kanäle ausschliesslich zur Meldung von nicht offengelegten Schwachstellen verwendet werden dürfen und nicht für andere Support- oder Informationsanfragen. Anfragen, die keine unveröffentlichten Schwachstellen betreffen, werden nicht beantwortet.
Legal Safe Harbor
- Wir werden keine rechtlichen Massnahmen ergreifen oder Beschwerden bei Strafverfolgungsbehörden anregen gegen Teilnehmer dieses Programms wegen unbeabsichtigter Verstösse gegen die Policy, sofern diese in gutem Glauben erfolgt sind
- Wir interpretieren Aktivitäten von Teilnehmern, die dieser Policy entsprechen, als autorisierten Zugriff gemäss dem Schweizer Strafgesetzbuch. Dies umfasst die Paragraphen 143, 143bis und 144bis des Schweizerischen Strafgesetzbuchs
- Wir werden keine Beschwerde gegen Teilnehmer einreichen, die versuchen, eingesetzte Sicherheitsmassnahmen zu umgehen, um die in dieser Policy benannten Dienste zu schützen
- Wenn rechtliche Schritte von einer Drittpartei gegen einen Teilnehmer eingeleitet werden sollten und der Teilnehmer gemäss dieser Policy gehandelt hat, werden wir die erforderlichen Schritte unternehmen, um die Behörden darauf hinzuweisen, dass die Handlungen dieses Teilnehmers in Übereinstimmung mit dieser Policy stattgefunden haben.
- Bei geringfügigen Verstössen kann eine Warnung ausgesprochen werden. Bei schwerwiegenden Verstössen behalten wir uns das Recht vor, strafrechtliche Anklagen zu erheben.
Sie sind wie immer verpflichtet, alle geltenden Gesetze einzuhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Tests und Aktivitäten mit dieser Policy übereinstimmen, reichen Sie bitte eine Meldung über einen unserer offiziellen Kanäle ein, bevor Sie Ihre Aktivitäten fortsetzen.
Beachten Sie, dass der Legal Safe Harbor nur für rechtliche Ansprüche gilt, die unter der Kontrolle des Kantons Aargau stehen, und dass die Policy unabhängige Dritte nicht bindet.
Diese Policy unterliegt dem schweizerischen Recht. Der ausschliessliche Gerichtsstand für alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Policy entstehen, ist Aarau, Schweiz. Zwingende Gerichtsstände bleiben vorbehalten.