Erklärung zur Vorgehensweise bei der Meldung von Sicherheitslücken

Die Sicherheit von Kommunikations- und Informationssystemen hat in der Europäischen Kommission oberste Priorität – im Einklang mit dem Beschluss 2017/46 der Kommission.

Trotz aller Anstrengungen lassen sich nicht immer alle Schwachstellen beseitigen. Werden solche Sicherheitslücken ermittelt und ausgenutzt, sind dadurch die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme und der darin verarbeiteten Informationen in Gefahr.

An dieser Stelle beschreiben wir, welche Tests und Methoden zulässig sind, und wie Sie uns Berichte über Sicherheitslücken übermitteln können. Bitte melden Sie uns potenzielle Schwachstellen unserer Systeme und gehen Sie dabei wie folgt vor.

Wenn Sie Schwachstellen in unseren Systemen nicht in böswilliger Absicht ermitteln und sie wie in dieser Erklärung beschrieben melden, werden wir mit Ihnen kooperieren, um die Probleme rasch zu verstehen und zu lösen.
Solange Sie sich an die nachstehenden Leitlinien halten, wird die Europäische Kommission im Zusammenhang mit Ihren Tätigkeiten zur Aufdeckung von Schwachstellen in unseren Systemen keine rechtlichen Schritte einleiten.

Diese Erklärung gilt für alle mit dem Internet verbundenen Systeme der Europäischen Kommission, darunter

• der gesamte Internetauftritt der Europäischen Kommission
  • *.ec.europa.eu/*
  • *.commission.europa.eu/*
• öffentliche IP-Adressen unter ASN 42848 und damit verbundene Dienste
• jede andere von der Europäischen Kommission veröffentlichte Software

Nicht ausdrücklich in dieser Liste aufgeführte Dienste sind vom Geltungsbereich ausgenommen. Tests sind in diesem Fall nicht zugelassen.
Ebenfalls ausgenommen sind Sicherheitslücken in Systemen von Drittanbietern. Diese sollten Sie gegebenenfalls dem jeweiligen Anbieter direkt melden und sich dabei an seine Regeln halten.

Das ist uns wichtig

• Nutzen Sie entdeckte Schwachstellen oder Sicherheitslücken nicht aus, etwa indem Sie mehr Daten als zu Demonstrationszwecken nötig herunterladen, Daten löschen oder ändern.
• Sorgen Sie dafür, dass keine Schäden entstehen, wenn Sie Tests zur Bestätigung von Sicherheitslücken durchführen.
• Machen Sie Daten, die Sie während Ihrer Tätigkeiten heruntergeladen haben, nicht der Öffentlichkeit oder Dritten zugänglich.
• Informieren Sie die Öffentlichkeit oder Dritte nicht über Schwachstellen oder Sicherheitslücken, bevor diese nicht gelöst sind.
• Stoppen Sie Ihre Tests, sobald Sie auf vertrauliche Informationen stoßen (personenbezogene Informationen wie medizinische oder finanzielle Daten, rechtlich geschützte Informationen oder Geschäftsgeheimnisse) und informieren Sie uns unverzüglich. Legen Sie die Daten nicht offen!

Das sollten Sie nicht tun

• Malware (Virus, Wurm, Trojaner usw.) in unseren Systemen installieren
• Unsere Systeme gefährden, indem Sie Ihren Exploit nutzen, um die vollständige oder teilweise Kontrolle zu erlangen
• Daten aus unseren Systemen kopieren, ändern oder löschen
• Unsere Systeme ändern
• Wiederholt auf unsere Systeme zugreifen oder anderen Zugang dazu verschaffen
• Sich nach einem gelungenen Zugriff Zugang zu anderen Systemen verschaffen
• Zugangsrechte anderer Nutzender ändern
• Automatisierte Scanning-Tools verwenden
• Brute-Force-Angriffe für den Zugang zu allen Systemen
• Denial-of-Service- oder Social-Engineering-Angriffe (Phishing, Vishing, Spam usw.)
• Angriffe auf die physische Sicherheit

So können Sie uns helfen

Wenn Sie eine Sicherheitslücke entdeckt haben:

• Benachrichtigen Sie uns bitte so bald wie möglich per E-Mail an EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu). Geben Sie dabei bitte an, ob Sie mit Ihrem Namen oder Pseudonym öffentlich als Entdeckerin bzw. Entdecker des Problems bekannt gemacht werden oder anonym bleiben möchten.
• Verschlüsseln Sie Ihre Ergebnisse mit unserem PGP-Schlüssel, damit diese sensiblen Informationen nicht in falsche Hände geraten.
• Schildern Sie möglichst ausführlich, wie wir das Problem reproduzieren können, damit wir es so schnell wie möglich lösen können. Normalerweise reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle. Bei komplexeren Problemen ist eine weitergehende Erläuterung mit technischen Informationen oder ggf. geeignetem Proof-of-Concept-Code hilfreich.
• Bitte schicken Sie uns Ihre Meldung vorzugsweise auf Englisch oder in einer anderen EU-Sprache.

Das können Sie von uns erwarten

Wenn Sie uns eine Sicherheitslücke melden, werden wir

• Ihre Meldung innerhalb von drei (3) Arbeitstagen beantworten und Ihnen unsere Einschätzung mitteilen;
• die Meldung streng vertraulich behandeln;
• Sie sofern möglich informieren, sobald die Schwachstelle behoben ist;
• die von Ihnen bereitgestellten personenbezogenen Daten (z. B. Ihre E-Mail-Adresse und Ihren Namen) im Einklang mit den geltenden Datenschutzbestimmungen verarbeiten und nicht ohne Ihre Zustimmung an Dritte weitergeben;
• bei der eventuellen Offenlegung des Problems Ihren Namen als Entdecker oder Entdeckerin des Problems veröffentlichen, wenn Sie dem in Ihrer ersten Mail zugestimmt haben.