Direkt zum Hauptinhalt

Richtlinie zur Offenlegung von Sicherheitslücken

Einleitung

Eine Richtlinie zur Offenlegung von Sicherheitslücken soll ethischen Hackern klare Richtlinien für die Übermittlung von potenziell unbekannten und schädlichen Sicherheitslücken an unser Unternehmen geben.

Geltungsbereiche

Zum Geltungsbereich gehören die nachfolgenden von der JobRouter AG bereitgestellten Produkte, Cloud-Dienste und Websites.

JobRouter®-Produkte

Zu den JobRouter®-Produkten im Geltungsbereich gehören:

Wichtige Hinweise zum Geltungsbereich JobRouter®-Produkte:

  • Anwendungsfall 1: Sofern Sie über ein eigenes Benutzerkonto im dazugehörigen JobRouter®-Produkt verfügen und eine Sicherheitslücke in diesem Produkt ausfindig gemacht haben, ist es Ihnen erlaubt diesen Testfall zu reproduzieren, vorausgesetzt Sie sind zu der Nutzung berechtigt.
  • Anwendungsfall 2: Sollte Anwendungsfall 1 nicht zutreffen, so muss das Untersuchen von Sicherheitslücken über ein separates Test-Benutzerkonto erfolgen. Wenn Sie eine Sicherheitslücke nicht mithilfe eines Test-Benutzerkontos reproduzieren können, so ist es Ihnen erlaubt ein echtes Konto zu verwenden, vorausgesetzt Sie sind zu der Nutzung berechtigt (dies gilt nicht für automatische Penetrationstests).
  • Für beide Anwendungsfälle sind zusätzlich die Abschnitte Außerhalb des Geltungsbereichs und Unzulässige Handlungen zu befolgen.

JobRouter Cloud-Dienste

JobRouter Cloud-Dienste ist ein Synonym für JobRouter® Cloud.

Zu den JobRouter Cloud-Diensten im Geltungsbereich zählen:

  • JobRouter® Cloud SaaS (https://*.jobrouter.cloud, *.test.jobrouter.cloud), zuvor JobRouter® Small Business Cloud, JobRouter® Business Cloud und JobRouter® Enterprise Cloud
  • JobRouter® Demo Cloud (https://*.demo.jobrouter.cloud)
  • JobRouter® Templates Cloud (https://templates.jobrouter.com)
  • JobRouter® Sign Cloud (https://jobroutersign.jobrouter.cloud, jobroutersign.test.jobrouter.cloud)
  • JobMind Cloud (https://jobmind.jobrouter.cloud, jobmind.test.jobrouter.cloud)
  • JobRouter® Office Online Endpoint (https://*.wopi.jobrouter.cloud)
  • JobRouter® Remote DB (https://remotedb.jobrouter.cloud, https://remotedb.test.jobrouter.cloud)

Wichtige Hinweise zum Geltungsbereich JobRouter Cloud-Dienste:

In der JobRouter® Cloud werden Dienste für JobRouter-Kunden sowie die JobRouter AG selbst bereitgestellt und betrieben.

Das bedeutet für die Offenlegung von Sicherheitslücken:

  • Sie müssen über eine schriftliche Genehmigung des Kunden bzw. der JobRouter AG verfügen.
  • Kunden der JobRouter® Cloud können die Penetrationstests ihrer eigenen Anwendungen autorisieren.
  • Ohne die ausdrückliche schriftliche Einwilligung des Kunden bzw. der JobRouter AG und des Test-/Benutzerkontoinhabers dürfen keine Daten des jeweiligen Test-/Benutzerkontos modifiziert bzw. darauf zugegriffen werden.
  • Es sind zusätzlich die Abschnitte Außerhalb des Geltungsbereichs und Unzulässige Handlungen zu befolgen.

JobRouter®-Websites

Zu den JobRouter-Websites im Geltungsbereich zählen:

  • JobRouter-Website (https://www.jobrouter.com)
  • JobRouter®-Marketplace (https://marketplace.jobrouter.com)
  • JobRouter-Newsletter (https://newsletter.jobrouter.com)

Wichtige Hinweise zum Geltungsbereich JobRouter®-Websites:

Außerhalb des Geltungsbereichs

  • Bereits der JobRouter AG bekannte bzw. gemeldete Sicherheitslücken werden ausgeschlossen.
  • Es werden nur gemeldete Sicherheitslücken für offiziell unterstützte JobRouter-Versionen von der JobRouter AG bearbeitet.
  • Sicherheitslücken, die auf angebotene, jedoch nicht genutzte bzw. falsch konfigurierte Sicherheitskonfigurationen unserer JobRouter-Produkte und Cloud-Dienste zurückzuführen sind.
  • Außerhalb des Geltungsbereichs sind Apps oder Websites Dritter, die sich nicht im Eigentum bzw. unter der Kontrolle der JobRouter AG befinden.
  • Ausgeschlossen sind Sicherheitslücken in Apps oder auf Websites Dritter, in die die JobRouter®-Digitalisierungsplattform eingebunden ist (z.B. als Iframe).
  • Ausgeschlossen sind Sicherheitslücken in Apps oder auf Websites Dritter, die in die JobRouter®-Digitalisierungsplattform eingebunden sind (z.B. als Iframe).

Ansprechpartner

Offizielle Kontakt-E-Mailadresse

Die offizielle Kontakt-E-Mailadresse kann der nachfolgenden URL entnommen werden:

https://www.jobrouter.com/.well-known/security.txt

Kontaktaufnahme bei allgemeinen Fragen zur Richtlinie

Bei Fragen in Bezug auf die Richtlinie zur Offenlegung von Sicherheitslücken wenden Sie sich bitte an unsere offizielle Kontakt-E-Mailadresse.

Kontaktaufnahme bei Meldung von Sicherheitslücken

Beim Fund einer potenziellen Sicherheitslücke, die ein Risiko für die Sicherheit oder die Privatsphäre darstellt, muss sie unmittelbar bzw. in naher Zukunft an die JobRouter AG gemeldet werden.

Ihre Meldung darf ausschließlich über unsere offizielle Kontakt-E-Mailadresse eingereicht werden (siehe Abschnitt: Offizielle Kontakt-E-Mailadresse). Bitte nehmen Sie bezüglich einer Meldung nicht direkt oder über andere Kommunikationskanäle Kontakt mit unseren Mitarbeitern auf.

Das Format der Meldung ist in Abschnitt Vorlage zum Einreichen einer Meldung beschrieben.

Bitte beachten Sie, dass Sie nur eine Sicherheitslücke pro Meldung aufgeben und auf jegliche Nachfragen unserer Mitarbeiter zum Erhalt aktualisierter oder weiterer Informationen nur über die offizielle Kontakt-E-Mailadresse antworten.

Verantwortungsvolle Recherche und Offenlegung

JobRouter AG erkennt den Wert an, den externe Sicherheitsexperten für die Sicherheit der JobRouter-Produkte, Cloud-Dienste und Websites erbringen können.

Wir freuen uns über berechtigte Beiträge von Sicherheitsexperten.

Es sind keine Geldprämien für die Meldung von Sicherheitslücken vorgesehen.

Für die Recherche nach Sicherheitslücken ist neben diesem Abschnitt der Abschnitt Unzulässige Handlungen zu beachten.

Wenn Sie der Ansicht sind, eine Sicherheitslücke im Geltungsbereich entdeckt zu haben, dann lassen Sie uns dies umgehend wissen (siehe Abschnitt: Kontaktaufnahme bei Meldung von Sicherheitslücken).

Wir prüfen alle eingehenden Meldungen und bemühen uns, die Sicherheitslücke so schnell wie möglich zu beheben (siehe Abschnitt: Auswertung von gemeldeten Sicherheitslücken).

Von Ihnen gefundene Sicherheitslücken dürfen nicht anderweitig veröffentlicht werden. Gewähren Sie uns einen angemessenen und realistischen Zeitraum – mindestens 4 Wochen – um auf Ihre Meldung reagieren zu können, bevor Sie irgendwelche Informationen dazu öffentlich bekanntgeben oder mit anderen teilen.

Beim Fund einer potenziellen Sicherheitslücke, die ein Risiko für die Sicherheit oder die Privatsphäre darstellt, muss sie unmittelbar bzw. in naher Zukunft an die JobRouter AG gemeldet werden (siehe Abschnitt: Kontaktaufnahme bei Meldung von Sicherheitslücken).

Das Format der Meldung ist in Abschnitt Vorlage zum Einreichen einer Meldung beschrieben.

Im Nachfolgenden wird Ihnen erklärt, was Sie konkret bei der Untersuchung von Sicherheitslücken beachten sollen:

  • Die Sicherheitslücke muss im Geltungsbereich liegen. Weiterhin schließen wir bestimmte Arten potenzieller Sicherheitslücken ausdrücklich aus (siehe Abschnitt: Geltungsbereiche).
  • Von Ihnen entdeckte Sicherheitslücken dürfen ausschließlich nur für Testzwecke verwendet werden. Dies umfasst auch das Aufzeigen zusätzlicher Risiken, wie beispielsweise das Risiko, dass die entdeckte Sicherheitslücke genutzt werden könnte, um vertrauliche Unternehmensdaten zu kompromittieren.
  • Wenn Sie bei der Untersuchung einer Sicherheitslücke versehentlich unbefugt Zugang zu den Daten einer anderen Person oder zu JobRouter-Unternehmensdaten erhalten, dann müssen Sie:
    • sofort alle Aktivitäten einstellen, die zu einem weiteren Zugang zu Benutzer- oder JobRouter-Unternehmensdaten führen könnten,
    • uns mitteilen, auf welche Informationen zugegriffen wurde (einschließlich einer vollständigen Beschreibung des Inhalts der Informationen),
    • nach der Meldung an uns die Informationen unverzüglich von Ihrem System löschen,
    • den versehentlichen Zugriff auch in jeder weiteren Meldung an uns bestätigen, den Sie anschließend einreichen.
  • Darüber hinaus dürfen Sie die Informationen, auf die Sie versehentlich zugegriffen haben, nicht an andere weitergeben.
  • Wenn Sie weiterhin auf die Daten einer anderen Person oder auf JobRouter-Unternehmensdaten zugreifen, kann dies auf einen Mangel an Gutgläubigkeit hindeuten und straf- und zivilrechtliche Konsequenzen nach sich ziehen.

Unzulässige Handlungen

  • Aus Sorge um die Verfügbarkeit unserer JobRouter-Produkte, Cloud-Dienste und Websites für alle Nutzer, versuchen Sie bitte nicht, DoS-Angriffe und Spam-Attacken durchzuführen oder andere ähnlich fragwürdige Dinge zu tun (z.B. Phishing-Attacken oder Social Engineering-Techniken).
  • Wir raten auch von der Verwendung von Tools zum Testen von Sicherheitslücken ab, die automatisch sehr große Mengen an Datenverkehr erzeugen.
  • Sie dürfen mit Ihren Penetrationstests keine Gesetze / Vorschriften verletzen.
  • Es sind keine automatisierten Penetrationstests erlaubt.
  • Es ist verboten Malware in jeglicher Form einzuschleusen.
  • Sie dürfen keine Daten zerstören, modifizieren oder darauf zugreifen, wenn die Daten nicht ihr eigen sind und Sie über keine schriftliche Einwilligung des Daten-Eigentümers verfügen.

Vorlage zum Einreichen einer Meldung

Für die Einreichung einer von Ihnen gefundene Sicherheitslücke bitten wir Sie die folgende Vorlage zu verwenden. Füllen Sie hierfür die Vorlage komplett aus.

Um welches von der JobRouter AG bereitgestellte Produkt, welchen Cloud-Dienst oder welche Webseite handelt es sich? Wählen Sie das betroffene JobRouter-Produkt, den Cloud-Dienst oder die Website aus.
Beispiel: JobRouter® Demo Cloud
Der Vorfall bezieht sich auf welche JobRouter-Version? Sofern eine Version für das betroffene von JobRouter AG bereitgestellte Produkt bzw. den Cloud-Dienst existiert, geben Sie diese an.
Beispiel: JR 5.1.10 Stable
Typ der Sicherheitslücke Sie können sich beispielsweise an dieser Liste orientieren:
https://owasp.org/www-community/attacks/
Beispiel: Cross Site Scripting (XSS): Reflected XSS Attacks
Kurze Beschreibung des Vorfalls inkl. seiner möglichen Auswirkungen (keine technischen Details und Beschreibung) Beispielsweise könnte es sich um ein Problem in Ihrer JobRouter® Demo Cloud gehandelt haben, das dazu geführt hat, dass die Daten eines bestimmten Kunden für einen anderen Kunden während eines Zeitraums von 1 Stunde sichtbar waren.
Sind bei diesem Vorfall Endbenutzerdaten bekannt geworden? Geben Sie uns einen Hinweis über den Umfang, der Ihnen dargestellten Endbenutzerdaten und um welche Dateitypen es sich hierbei gehandelt hat.
Beispiel: Excel-Dateien aus der Buchhaltung, konkret hat es sich hierbei um die Mitarbeiter-Lohnabrechnungen der Jahre 2018, 2019, 2020 gehandelt. Die Dateien waren nicht verschlüsselt und lagen im Klartext vor. Zusätzlich waren folgende Word-Dokumente sichtbar: "Neues_Buchhaltungssystem_2020.doc", "Gehaltserhöhungen_2021.doc", usw.;
Welche Programme haben Sie zum Nachstellen des Vorfalls verwendet? (mit Versions-Angabe) Beispiel: Google Chrome, Version 87.0.4280.141 (Offizieller Build) (64 Bit)
Wie sind Sie bei der Untersuchung vorgegangen? (technische Details) Beschreiben Sie, welche Maßnahmen Sie im Rahmen der Untersuchung des Vorfalls ergriffen haben, um dessen möglichen Umfang und Auswirkungen zu bestätigen.
Können Sie uns mögliche Maßnahmen zur Lösung aufzeigen? Beschreiben Sie, welche Maßnahmen Sie ergreifen (oder ergriffen haben), um den Vorfall zu beheben.
Wann haben Sie diese Sicherheitslücke entdeckt? Beispiel: Zwischen dem 01.01.2021 und 12.01.2021

Auswertung von gemeldeten Sicherheitslücken

  • Die JobRouter AG untersucht und beantwortet alle gültigen Meldungen. Je nach Risiko und sonstigen Faktoren setzen wir entsprechende Prioritäten für die Auswertung. Daher kann es zu Verzögerungen bei der Antwort kommen. Gewähren Sie uns einen angemessenen und realistischen Zeitraum ein – mindestens 4 Wochen – um auf Ihre Meldung reagieren zu können, bevor Sie irgendwelche Informationen dazu öffentlich bekanntgeben oder mit anderen teilen.
  • Letztendlich ermittelt die JobRouter AG das Risiko der jeweiligen Sicherheitslücke. Es kann sich bei der gemeldeten Sicherheitslücke unter Umständen um Softwarefehler handeln, die keine Sicherheitsprobleme darstellen.
  • Gemeldete Sicherheitslücken wie auch übermittelte personenbezogene Daten werden von JobRouter AG bis zur Erfüllung des Zweckes aufbewahrt.

Datenschutz

Wenn Sie uns Lücken bzw. Verbesserungen zu Verfügung stellen und dadurch an uns Ihre personenbezogenen Daten übermitteln, werden diese unter dem Art. 6 Abs. 1 lit. f) DSGVO erhoben und verarbeitet. Wir werden Ihre Daten nur für Zwecke der Bearbeitung der Meldungen, um eine potenzielle Kontaktaufnahme mit Ihnen verarbeiten. Eine Übermittlung an Dritte wird nicht stattfinden und ist auch nicht geplant. Wir werden alle übermittelten personenbezogenen Daten nach der Bearbeitung der Meldung unverzüglich löschen. Weitere Informationen zu dem Umgang mit personenbezogenen Daten bei der JobRouter AG entnehmen Sie bitte der Datenschutzerklärung unter: https://www.jobrouter.com/de/datenschutz/

Stand: 09/2023, letzte Prüfung: 09/2023, Version 2.2

nach oben