Sicherheitsvorfälle und Responsible Disclosure Policy

Umgang mit sicherheitskritischen Ereignissen

Um sicherheitskritische Ereignisse schnell und effektiv behandeln zu können, hat DRACOON die E-Mail-Adresse security@dracoon.com eingerichtet. An diese Adresse gemeldete Ereignisse werden automatisch an das CERT-Team von DRACOON weitergeleitet, die diese auf Grund ihrer Auswirkungen auf die Informationssicherheit bewerten und priorisieren.
Alle Kunden sind daher angehalten, kritische Sicherheitsereignisse umgehend an die E-Mail-Adresse security@dracoon.com zu senden. Die übermittelten Informationen unterliegen der Geheimhaltung. 

Responsible Disclosure Policy

DRACOON versteht sich als Anbieter einer Sicherheitslösung und legt daher großen Wert auf sichere Softwareentwicklung (SSDL) und entsprechende Qualitätssicherung in den eigenen Prozessen und Strukturen. Dennoch können wir auch mit großem Aufwand nicht verhindern, dass Schwachstellen in unseren Diensten auftreten. Daher betreiben wir neben regelmäßigen Penetrationstests auch ein privates Bug-Bounty-Programm auf YesWeHack, für das sich interessierte Sicherheitsforscher anmelden können.

Wenn Sie eine Sicherheitslücke gefunden haben, können Sie diese entweder über das Programm oder direkt an security@dracoon.com melden. Unseren PGP-Schlüssel finden Sie hier. Unser Sicherheitsteam wird die Meldung analysieren und die Schwachstelle beheben. Wir ermutigen jeden, der eine Sicherheitslücke entdeckt, diese verantwortungsvoll zu melden. Alle Informationen werden vertraulich behandelt.

Die Maßnahmen im Rahmen dieser Richtlinie zur verantwortungsvollen Offenlegung sollten sich auf die Durchführung von Tests zur Identifizierung potenzieller Schwachstellen und die Weiterleitung dieser Informationen an DRACOON beschränken. Wenn Sie Informationen über die Schwachstelle veröffentlichen möchten, nachdem diese behoben wurde, informieren Sie uns bitte mindestens einen Monat vor der Veröffentlichung und geben Sie uns die Möglichkeit, dazu Stellung zu nehmen. Die Nennung von DRACOON in einer Veröffentlichung ist nur mit unserer ausdrücklichen Zustimmung möglich.

Bitte beachten Sie die folgenden Richtlinien:

• Führen Sie keine Angriffe durch, die die Verfügbarkeit, Integrität oder Vertraulichkeit unseres Dienstes oder der in unseren Produkten gespeicherten Informationen beeinträchtigen könnten.
• Führen Sie keine Social Engineering-Angriffe gegen unsere Mitarbeitenden, Kunden oder unsere Infrastruktur durch.
• Unterlassen Sie Einschüchterungs- und Erpressungsversuche.
• Geben Sie keine vertraulichen Informationen, einschließlich Ihrer Registrierungsdaten, ohne vorherige ausdrückliche Zustimmung von DRACOON weiter.
• Verstoßen Sie nicht gegen geltende Gesetze oder Vorschriften.