Ver­ant­wor­tungs­vol­len Offenlegung

Bei Knox Ser­vices legen wir größ­ten Wert auf die Sicher­heit unse­rer Sys­te­me, unse­res Netz­werks und unse­rer Pro­duk­te. Trotz der gro­ßen Sorg­falt, die wir in Bezug auf die Sicher­heit wal­ten las­sen, kön­nen Schwach­stel­len bestehen blei­ben. Wenn Sie eine sol­che Schwach­stel­le gefun­den haben, möch­ten wir davon so schnell wie mög­lich erfah­ren, damit wir so schnell wie mög­lich ent­spre­chen­de Maß­nah­men ergreifen können.

Schwach­stel­len kön­nen auf zwei Arten ent­deckt wer­den: Man kann bei der nor­ma­len Nut­zung einer digi­ta­len Umge­bung ver­se­hent­lich auf etwas sto­ßen oder man kann aus­drück­lich sein Bes­tes tun, um etwas zu finden.

Unse­re Richt­li­nie zur ver­ant­wor­tungs­vol­len Offen­le­gung ist kei­ne Ein­la­dung, unser Unter­neh­mens­netz­werk aktiv zu durch­su­chen, um Schwach­stel­len auf­zu­de­cken. Wir über­wa­chen unser Geschäfts­netz­werk selbst. Dies bedeu­tet, dass die Wahr­schein­lich­keit hoch ist, dass ein Scan erkannt wird und dass eine Unter­su­chung durch unser IT-Team durch­ge­führt wird, was zu unnö­ti­gen Kos­ten führen kann.

Sie kön­nen jedoch ein­ge­la­den wer­den, aktiv nach Schwach­stel­len in unse­ren Pro­duk­ten in einer spe­zi­el­len Umge­bung durch unser Bug Bounty“-Programm auf Hacke­rO­ne zu suchen. Wenn Sie zu unse­rem pri­va­ten Pro­gramm ein­ge­la­den wer­den möch­ten, kön­nen Sie ger­ne eine Anfra­ge an security@​joinknox.​com mit Ihrem Hacke­rO­ne-Benut­zer­na­men sen­den. Ande­re akti­ve Such­pro­gram­me für Schwach­stel­len sind nur mit schrift­li­cher Zustim­mung von Knox Services zulässig.

Unse­re Ver­ant­wor­tung gegen­über unse­ren Kun­den bedeu­tet, dass wir kei­ne Hacking-Ver­su­che auf unse­re Infra­struk­tur för­dern wol­len; wir möch­ten jedoch so schnell wie mög­lich von Ihnen hören, wenn Schwach­stel­len gefun­den wer­den, damit wir sie ange­mes­sen beheben können.

Wir möch­ten mit Ihnen zusam­men­ar­bei­ten, um unse­re Kun­den und unse­re Sys­te­me bes­ser schüt­zen zu können.

Wenn Sie eine Schwach­stel­le gefunden haben:

  • Sen­den Sie Ihre Ergeb­nis­se so schnell wie mög­lich per E‑Mail an security@​joinknox.​com.
  • Miss­brau­chen Sie die Sicher­heits­lü­cke nicht, z.B. durch Her­un­ter­la­den, Bear­bei­ten oder Löschen von Daten. Wir wer­den Ihren Bericht immer ernst neh­men und jeden Ver­dacht auf eine Schwach­stel­le unter­su­chen, auch ohne Beweise.
  • Tei­len Sie das Pro­blem nicht mit ande­ren, bis es gelöst ist.
  • Machen Sie kei­nen Gebrauch von Angrif­fen auf die phy­si­sche Sicher­heits­maß­nah­men, Soci­al Engi­nee­ring oder Hacking-Tools wie Schwachstellenscanner.
  • Geben Sie aus­rei­chend Infor­ma­tio­nen über das Pro­blem wei­ter, damit wir es so schnell wie mög­lich lösen kön­nen. In der Regel rei­chen die IP-Adres­se oder die URL des betrof­fe­nen Sys­tems und eine Beschrei­bung der Schwach­stel­le aus, obwohl bei kom­ple­xe­ren Schwach­stel­len mehr Infor­ma­tio­nen erfor­der­lich sein können.

Was wir Ihnen versprechen:

  • Wir wer­den auf Ihren Bericht inner­halb von drei Werk­ta­gen ant­wor­ten, mit unse­rer Bewer­tung des Berichts und einem voraussichtlichen Beschlussdatum.
  • Wir wer­den Ihren Bericht ver­trau­lich behan­deln und Ihre per­so­nen­be­zo­ge­nen Daten nicht ohne Ihre Zustim­mung an Drit­te wei­ter­ge­ben. Eine Aus­nah­me bil­den Poli­zei und Jus­tiz im Fal­le einer Straf­ver­fol­gung oder wenn Infor­ma­tio­nen angefordert werden.
  • Wir wer­den Sie über den Fort­schritt der Pro­blem­lö­sung auf dem Laufenden halten.
  • Bei der Kom­mu­ni­ka­ti­on über das gemel­de­te Pro­blem geben wir Ihren Namen als die Par­tei an, die das Pro­blem ent­deckt hat, wenn Sie dies möchten.
  • Es ist lei­der nicht mög­lich, im Vor­aus zu garan­tie­ren, dass kei­ne recht­li­chen Schrit­te gegen Sie ein­ge­lei­tet wer­den. Wir hof­fen, dass wir jede Situa­ti­on indi­vi­du­ell berück­sich­ti­gen kön­nen. Wir füh­len uns mora­lisch ver­pflich­tet, Sie zu infor­mie­ren, wenn wir ver­mu­ten, dass die Schwach­stel­le oder die Daten miss­braucht wer­den oder dass Sie das Wis­sen über die Schwach­stel­le mit ande­ren geteilt haben. Sie kön­nen sicher sein, dass eine ver­se­hent­li­che Ent­de­ckung in unse­rer Online-Umge­bung nicht zu einer Strafverfolgung führt.
  • Als Dan­ke­schön für Ihre Hil­fe bie­ten wir eine Beloh­nung für jeden Bericht über ein Sicher­heits­pro­blem, das uns nicht bekannt ist. Wir bestim­men den Wert der Beloh­nung auf der Grund­la­ge der Schwe­re der Ver­let­zung und der Qua­li­tät des Berichts.

Wir bemü­hen uns, alle Pro­ble­me so schnell wie mög­lich zu lösen, alle Betei­lig­ten auf dem Lau­fen­den zu hal­ten und möch­ten an jeder Ver­öf­fent­li­chung über das Pro­blem betei­ligt sein, sobald es gelöst ist. Mit Dank an Floor Ter­ra für sei­nen Mus­ter­text auf Nie­der­län­disch auf www​.respon​si​ble​dis​clo​sure​.nl