Auto vig

Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

Wie Sie eine Sicherheitslücke an Autovig melden: Geltungsbereich, Meldekanal, Zeitplan, belgischer CVD-Safe-Harbour (Gesetz vom 28.11.2022) und CCB-Eskalation.

Autovig begrüßt Sicherheitsforschung, die in gutem Glauben auf den öffentlichen Eigenschaften des Unternehmens durchgeführt wird. Diese Richtlinie ist die CVD-Richtlinie des Verantwortlichen im Sinne von ISO/IEC 29147:2018, des belgischen Gesetzes vom 28. November 2022 (Bedingungen des CVD-Safe-Harbour und Rolle des Zentrums für Cybersicherheit Belgien — CCB) sowie des Good Practice Guide on Vulnerability Disclosure der ENISA. Sie gilt für die Website autovig.eu (die „Website").

1. Meldekanal

Senden Sie eine einzige, strukturierte Meldung an:

E-Mail: contact@autovig.eu
Betreffzeile: bitte Sicherheitsmeldung angeben
PGP-Schlüssel: TODO(pgp-key) — sobald ein Schlüssel veröffentlicht ist, wird er auf dieser Seite verfügbar sein.

Falls Sie uns nicht erreichen oder innerhalb der in Abschnitt 6 genannten Frist keine Bestätigung erhalten, können Sie die Meldung an das belgische nationale CSIRT weiterleiten:

Zentrum für Cybersicherheit Belgien (CCB) — CERT.behttps://ccb.belgium.be/de und https://cert.be.

Sie können auf Englisch, Französisch, Deutsch, Niederländisch, Rumänisch oder Polnisch schreiben.

2. Geltungsbereich

Im Geltungsbereich:

autovig.eu und jede Subdomain mit Produktionsinhalten;
die Ausgabe des statischen Builds: HTML, CSS, JavaScript-Bundles und die von uns ausgegebenen strukturierten Daten;
der Cookie-Einwilligungsdialog und die clientseitige Einwilligungsspeicherung.

3. Außerhalb des Geltungsbereichs

Drittanbieter-Operatorseiten (ASFINAG, DARS, NÚSZ, BGTOLL, CNAIR usw.) — bitte direkt an den Operator melden.
Probleme, die eine privilegierte Position voraussetzen (bereits kompromittierter Browser, bösartige Browser-Erweiterung, physischer Zugriff auf das Endgerät des Nutzers).
Ausgaben automatisierter Scanner ohne klare und nachweisbare Sicherheitsauswirkung.
Meldungen über fehlende Best Practices (HTTP-Header-Härtung, TLS-Konfiguration, Software-Versions-Fingerabdrücke) ohne nachgewiesenes ausnutzbares Risiko.
Denial-of-Service-Tests, Social Engineering gegen Mitarbeiter oder Auftragnehmer, Angriffe gegen physische Räumlichkeiten oder Drittanbieter (Hosting, DNS, E-Mail).

4. Inhalt der Meldung

Eine kurze Beschreibung des Problems und die betroffene URL oder Komponente.
Reproduktionsschritte, ggf. einschließlich der Anfrage-Payload.
Die von Ihnen eingeschätzte Auswirkung und ein realistisches Ausnutzungsszenario.
Datum und Uhrzeit des Tests sowie verwendeter Browser, Werkzeug oder Skript.
Der Name oder das Pseudonym, unter dem Sie ggf. öffentlich erwähnt werden möchten (Abschnitt 8).

5. Was wir von Ihnen erwarten

Greifen Sie nicht auf Daten zu, ändern Sie keine und laden Sie keine Daten herunter, die Ihnen nicht gehören. Wenn eine Fehlkonfiguration Daten Dritter offenlegt, stoppen Sie und informieren Sie uns — laden Sie nicht mehr herunter als das Mindestmaß, das zur Belegung des Problems nötig ist.
Führen Sie keine Denial-of-Service-Tests, kein Social Engineering und keine Angriffe gegen physische Räumlichkeiten oder Drittanbieter durch.
Geben Sie uns ein angemessenes Zeitfenster zur Behebung vor jeder öffentlichen Offenlegung (Abschnitt 7).
Handeln Sie in gutem Glauben. Meldungen mit der ehrlichen Absicht, die Sicherheit zu verbessern, sind willkommen; Drohungen, Erpressung oder Zahlungsforderungen gegen Nichtoffenlegung sind es nicht.

6. Koordinierter Zeitplan — unsere Zusagen

Eingangsbestätigung innerhalb von 5 Werktagen ab Eingang.
Triage (Geltungsbereichsbestätigung, anfängliche Schweregradeinschätzung) innerhalb von 10 Werktagen.
Statusaktualisierungen zu materiellen Befunden mindestens alle 15 Kalendertage bis zum Abschluss.
Behebung in einem der Schwere angemessenen Zeitrahmen: kritische oder aktiv ausgenutzte Schwachstellen haben Vorrang; Standardkorrekturen streben 90 Kalendertage ab der Triage an; eine längere Frist wird mit Ihnen begründet vereinbart.
Öffentliche Anerkennung bei Auslieferung der Korrektur, sofern gewünscht (Abschnitt 8).

7. Koordinierte öffentliche Offenlegung

Wir folgen einem koordinierten Offenlegungsmodell:

Meldung und Korrektur bleiben vertraulich bis zur Auslieferung der Korrektur oder bis zum Ablauf der Standardfrist von 90 Kalendertagen ab der Triage;
Verantwortlicher und Forscher stimmen Wortlaut, Zuschreibung und Zeitpunkt jeder Veröffentlichung ab;
betrifft ein Befund einen Dritten (Operator, Auftragsverarbeiter, Bibliothek), kann die Frist einvernehmlich verlängert werden, damit dieser eine eigene Antwort koordinieren kann;
bei Uneinigkeit über den Zeitplan kann der Fall an das CCB herangetragen werden (Abschnitt 9).

8. Anerkennung — derzeit kein Bug-Bounty-Programm

Autovig betreibt derzeit kein bezahltes Bug-Bounty-Programm. Anerkennung erfolgt durch öffentliche Nennung auf dieser Seite (unter Ihrem bevorzugten Namen oder Pseudonym) und durch direkten Austausch. Es wird keine Zusage einer Geldprämie gemacht; sollte zu einem späteren Zeitpunkt ein Programm eingeführt werden, werden die Bedingungen hier veröffentlicht, bevor sich eine Meldung darauf berufen kann.

9. Safe Harbour und belgischer Rechtsrahmen

Wir werden auf Rechtsverfolgung verzichten — und Ihr Verhalten für die Zwecke der einschlägigen belgischen Strafbestimmungen zum unbefugten Zugang zu Informatiksystemen (insbesondere Artikel 550bis und 550ter des Code pénal / Strafgesetzbuchs) als autorisiert behandeln — sofern Sie:

in gutem Glauben mit der ehrlichen Absicht handeln, die Sicherheit zu verbessern;
innerhalb des Geltungsbereichs gemäß Abschnitt 2 bleiben und die Negativliste in Abschnitt 3 respektieren;
nur auf die für den Befund unbedingt notwendige Mindestmenge an Daten zugreifen und keine Daten Dritter exfiltrieren, speichern, veröffentlichen oder weitergeben;
Verfügbarkeit, Integrität oder Vertraulichkeit nicht über das zur Demonstration des Problems unbedingt nötige Maß hinaus beeinträchtigen;
die Meldung ohne unangemessene Verzögerung über den Kanal in Abschnitt 1 übermitteln;
den koordinierten Offenlegungszeitplan in Abschnitt 7 einhalten.

Diese Autorisierung wird von Autovig in ihrer Eigenschaft als Verantwortliche der betreffenden Assets erteilt. Sie neutralisiert das Tatbestandsmerkmal unbefugter Zugang der Artikel 550bis/550ter für die im Geltungsbereich liegenden Handlungen. Sie bindet öffentliche Behörden oder Dritte, deren Systeme inzidenziell betroffen sein könnten, nicht. Forscher, die zusätzlich das CCB benachrichtigen und die Bedingungen des belgischen Gesetzes vom 28. November 2022 (Whistleblower und koordinierte Offenlegung von Sicherheitslücken) einhalten, genießen darüber hinaus den gesetzlichen CVD-Safe-Harbour-Rahmen des CCB, unabhängig von dieser vom Verantwortlichen erteilten Autorisierung. Im Zweifel ist die CVD-Richtlinie des CCB (https://ccb.belgium.be/de/cvdp) maßgeblich.

10. Verarbeitung Ihrer personenbezogenen Daten

Die Daten, die Sie bei einer Meldung übermitteln (E-Mail-Adresse, Inhalt der Meldung, ggf. PGP-verschlüsselter Inhalt), werden von Autovig als Verantwortliche auf Grundlage des berechtigten Interesses (Artikel 6 Absatz 1 Buchstabe f DSGVO) zu Zwecken der Triage, Behebung und koordinierten Offenlegung verarbeitet. Meldungen werden bis zu 5 Jahre nach Abschluss gespeichert, im Einklang mit der empfohlenen Frist der CCB-CVD-Richtlinie. Ihre Rechte, der Beschwerdeweg an die belgische APD/GBA und die übrigen DSGVO-Informationen finden sich in unserer Datenschutzerklärung.

Quellen

Richtlinie (EU) 2022/2555 (NIS2)
Belgisches Gesetz vom 26. April 2024 — Umsetzung von NIS2
Belgisches Gesetz vom 28. November 2022 (Whistleblower / koordinierte Offenlegung von Sicherheitslücken)
Belgisches Strafgesetzbuch, Art. 550bis und 550ter
ISO/IEC 29147:2018 — Informationstechnik — Offenlegung von Schwachstellen
ENISA — Good Practice Guide on Vulnerability Disclosure
Zentrum für Cybersicherheit Belgien — Richtlinie zur koordinierten Offenlegung von Sicherheitslücken
Verordnung (EU) 2016/679 (DSGVO)