Grundsätze

Die Sicherheit unserer Informationssysteme hat für uns oberste Priorität. Trotz unserer kontinuierlichen Bemühungen können wir nicht ausschließen, dass Schwachstellen in unseren Systemen auftreten.

Sollte eine Schwachstelle entdeckt werden, bitten wir darum, diese umgehend an indasys zu melden, damit wir sie direkt angehen können. Auf diese Weise möchten wir den Schutz unserer Dienste, Server und Clients weiter verbessern.

Im Falle einer Schwachstellenmeldung gelten folgende Richtlinien:

  • Der Befund sollte an security@indasys.de gesendet werden, wobei der Inhalt mit unserem PGP Key verschlüsselt sein muss, um zu verhindern, dass kritische Informationen in falsche Hände geraten.
  • Die Schwachstelle darf nicht ausgenutzt werden.
  • Bis zur Behebung der Schwachstelle darf diese nicht an Dritte weitergegeben werden.
  • Es sind keine Angriffe gegen die Dienste von Drittanbietern über indasys zulässig.
  • Um eine schnelle und effektive Behandlung zu ermöglichen, müssen ausreichende Informationen zur Reproduktion der Schwachstelle bereitgestellt werden. In der Regel genügt die IP-Adresse oder URL des betroffenen Systems/Dienstes sowie eine Beschreibung der Schwachstelle. Komplexere Schwachstellen sollten detailliert beschrieben werden.

Unsere Zusicherungen:

  • Wir werden innerhalb von 3 Werktagen auf Meldungen antworten und unsere Einschätzung sowie die geschätzte Dauer bis zur Behebung der Schwachstelle mitteilen.
  • Bei Einhaltung aller genannten Punkte werden keine rechtlichen Schritte gegen den Meldenden eingeleitet.
  • Die Meldung wird mit höchster Vertraulichkeit behandelt, und persönliche Informationen werden ohne ausdrückliche Erlaubnis nicht an Dritte weitergegeben.
  • Der Meldende wird kontinuierlich über den Fortschritt der Meldung informiert.
  • Die Offenlegung des Meldenden erfolgt nur, wenn dies ausdrücklich gewünscht wird.


Wir streben an, alle Schwachstellen so schnell wie möglich zu beheben und nehmen eine aktive Rolle in der Veröffentlichung von Sicherheitslücken ein.