Sprache:

Schwachstellenmeldung

Die Unternehmen der Bundesdruckerei-Gruppe sorgen mit ihren Dienstleistungen und Technologien für den Schutz digitaler Identitäten, sensibler Daten und IT-Infrastrukturen. Als IT-Sicherheitsunternehmen des Bundes übernehmen wir gesellschaftliche Verantwortung und setzen uns insbesondere für die digitale Souveränität Deutschlands ein.

Die Sicherheit der von uns entwickelten und eingesetzten Software, Systeme und Services steht jederzeit im Vordergrund. Deshalb sind wir auch besonders daran interessiert mögliche vorhandene Schwachstellen schnell zu identifizieren und zu beheben. Sollten Sie Schwachstellen in den IT-Systemen, Produkten und (Web-)Anwendungen der Bundesdruckerei entdecken, bitten wir Sie daher uns darüber zu informieren. Wir werden dann, sofern gewünscht, mit Ihnen in Kontakt treten und umgehend entsprechende Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu schließen.

Vorgehen

  • Senden Sie Ihre Ergebnisse zur Schwachstelle per E-Mail an vulnerability-report@bdr.de. Verschlüsseln Sie Ihre Dokumentation bitte außerdem mit unserem PGP-Schlüssel (https://www.bundesdruckerei.de/pub_files/pgp-key.txt),  damit sensible Informationen nicht in falsche Hände geraten.
  • Reichern Sie Ihren Bericht mit so vielen Details wie möglich an, damit wir das Problem reproduzieren und analysieren sowie geeignete Maßnahmen ergreifen können.
  • Seien Sie im besten Fall für uns erreichbar, damit wir Nachfragen stellen können. Die gewählte Kontaktmöglichkeit obliegt Ihnen.
  • Halten Sie sich an die geltende Gesetzgebung und nutzen Sie mögliche Schwachstellen nicht aus, in dem Sie z. B. Dokumente herunterladen, Daten verändern, löschen oder gar Code hochladen.
  • Geben Sie Informationen über mögliche Schwachstellen nicht an dritte Personen oder Institutionen weiter, bzw. veröffentlichen Sie diese nicht, bevor wir mit Ihnen in Kontakt getreten und einer Publikation zugestimmt haben.
  • Führen Sie keine Angriffe auf unsere IT-Systeme, Produkte, Personen oder Infrastruktur durch, die Kompromittierungen, Veränderungen oder Manipulationen zum Ziel haben. Dies umfasst auch die Themenbereiche Social-Engineering und (Distributed) Denial of Service (DDoS).
  • Räumen Sie uns bitte eine angemessene Zeit für die Behebung von Schwachstellen ein.

Maßnahmen

  • Wir werden versuchen die gefundene Schwachstelle so schnell wie möglich zu beheben.
  • Sie werden von uns sowohl eine Bestätigung für den Eingang Ihrer E-Mail bekommen, als auch eine Antwort auf Ihre Meldung.