Responsible Disclosure

Responsible Disclosure

Wir begrüßen jegliche Hinweise von Externen und Angehörigen der TU Braunschweig, die uns helfen die Schutzziele der Informationssicherheit zu erreichen und unsere Systeme abzusichern. Sollten Sie eine Schwachstelle entdeckt haben, die eines unserer Systeme betrifft, wenden Sie sich bitte an uns. Nutzen Sie hierfür unsere Mail-Adresse oder unser Kontaktformular.

Bitte beachten Sie folgendes:

  • Wir können Ihnen als öffentliche Einrichtung leider keine finanzielle Belohnung (Bug Bounty) anbieten.
  • Auf Ihre Bitte und Einwilligung zur Verarbeitung Ihrer Daten hin werden wir Sie im Rahmen unserer Hall of Fame veröffentlichen, wenn
    • wir die Schwachstelle anhand einer angemessenen Darstellung verififzieren können,
    • es sich um die erste Meldung zu dieser Schwachstelle handelt (fragen Sie im Zweifel nach),
    • die Meldung ein gutes und realistisches Angriffsszenario für die Schwachstelle enthält,
    • wir den Fund als reelles Risiko für die Systeme oder Nutzenden der TU Braunschweig bewerten sowie
    • Sie sich respektvoll verhalten, angemessen kommunizieren und nicht drängeln.
  • Betreiben Sie keine Sicherheitsforschung, die Folgendes beinhaltet:
    • Potenzieller oder tatsächlicher Schaden für unsere Nutzenden und Mitglieder, Systeme, Daten, Anwendungen oder Prozesse.

    • Verletzung von Datenschutzrechten betroffener Personen oder der Vertraulichkeit von Daten.

    • Social Engineering (einschließlich, aber nicht beschränkt auf, Phishing).

    • Störung oder Unterbrechung unserer Dienste.

    • Port-Scans in unseren Netzwerken oder die Durchführung von DDoS-Angriffen.

Wenn Sie die Regeln unseres Programms einhalten, werden wir keine rechtlichen Schritte einleiten oder die Strafverfolgungsbehörden bitten, gegen Sie zu ermitteln, es sei denn, wir haben Grund zu der Annahme, dass Sie nicht in gutem Glauben gehandelt haben.

Bitte beachten Sie, das sich Rückmeldungen von unserer Seite nach einer ursprünglichen Bestätigung verspäten können, solange wir mit der Prüfung und Behebung der gefundenen Schwachstelle beschäftigt sind. Wir werden Rückfragen stellen, sofern wir für die Aufklärung weiter Informationen benötgen. "Beg Bounty"-Anfragen werden nicht bearbeitet.