White Hat Heroes

Wir freuen uns über jeden Hinweis zu Schwachstellen in unseren Systemen, die nach den untenstehenden Regelungen sowohl von Mitgliedern der THWS, als auch von externen Personen an uns gesendet werden. Schwachstellen lassen sich nie gänzlich vermeiden.

Ihre Hinweise helfen uns dabei die in der Leitlinie für Informationssicherheit (https://informationssicherheit.thws.de/informationssicherheit/leitlinie) festgelegten Ziele zu erreichen, unserer Systeme und Dienste sicherer zu machen und Schaden von unseren Hochschulmitgliedern, ihren Daten und ihrer Arbeit abzuwenden.

Wenn Sie eine Schwachstelle in unseren Systemen oder Diensten gefunden haben, kontaktieren Sie uns bitte über die E-Mail-Adresse security@thws.de

Bitte beachten Sie dabei die folgenden Regelungen zur vertrauensvollen Zusammenarbeit (responsible disclosure):

Leider können wir als öffentliche Einrichtung kein Bug Bounty oder ähnliche finanzielle Anreize bieten.
Wenn Sie sich an die Regelungen hierunter halten, können wir Ihren Namen und einen Link auf Ihr Profil auf unserer Webseite aufnehmen.

Regelungen:

• Der Hinweis muss der Erste auf die konkrete Schwachstelle in unseren Systemen sein, der bei uns eingeht.
• Die in Ihrem Hinweis dargestellte Schwachstelle ist für uns nachvollziehbar und deren Vorhandensein kann durch uns bestätigt werden.
• Das Ausnutzen der jeweiligen Schwachstelle aus Ihrem Hinweis würde eine für uns nachvollziehbare Gefährdung der Vertraulichkeit, Verfügbarkeit oder Integrität von Daten, Diensten und Systemen mit sich bringen.
• Fügen Sie Ihrem Hinweis bitte folgende Informationen mit bei:
  • eine Beschreibung der Schwachstelle
  • wo diese zu finden ist
  • welche Voraussetzungen für ihre Ausnutzung erfüllt sein müssen
  • ihre potentiellen Auswirkungen
  • Ansätze die Schwachstelle abzustellen

Sie dürfen nicht:

• Die gefundene Sicherheitsproblematik selbst ausnutzen.
• Persönlichkeitsrechte oder die Vertraulichkeit von Daten einschränken.
• Daten und Informationen der THWS verändern.
• Social Engeneering Angriffe ausführen.
• Schaden an unseren Diensten, Systemen, Netzwerken, Software-Applikationen und Nutzerdaten verursachen.
• Die Nutzung unserer Dienste, Systeme, Applikationen und Infrastruktur einschränken.
  Auch nicht durch das Verursachen erhöhten Traffics, durch exzessive Portscans oder Dos / DDoS Angriffe.

Wenn Sie sich an diese Regeln halten und wir davon ausgehen können, dass Sie nach bestem Wissen und Gewissen gehandelt haben:

• Werden wir keine rechtlichen Schritte gegen Sie ergreifen, oder Ermittlungsbehörden dazu aufrufen Schritte gegen Sie zu ergreifen.
• Werden wir Sie über den Stand der Behebung der Schwachstellen informieren
• Wenn von Ihnen ausdrücklich gewünscht, behandeln wir Ihren Hinweis soweit möglich vertraulich.

Die THWS entscheidet eigenständig nach den Kriterien hierüber, ob sich Ihr Hinweis für die Aufnahme in die Liste der gemeldeten Hinweise eignet. Pseudonyme können leider nicht aufgenommen werden.

 

 

We welcome any information on vulnerabilities in our systems that are sent to us both by THWS members and external researchers in accordance with the regulations below. Vulnerabilities can never be completely avoided.

Your information on vulnerabilities will help us to achieve the goals set out in the Guideline for Information Security of the THWS (https://informationssicherheit.thws.de/informationssicherheit/guidelines-english), to make our systems and services more secure and to prevent damage to our university members, their data and their work.

If you have found a vulnerability in our systems or services, please contact us at security@thws.de

Please be aware of the following rules of responsible disclosure:
Unfortunately, as a public institution, we cannot offer a bug bounty or similar financial incentives. However, if you comply with the rules below, we may include your name and a link to your profile on our website.

Rules:

• The notification must be the first we receive of the specific vulnerability in our systems.
• The vulnerability described in your report is comprehensible to us and its existence can be confirmed by us
• Exploitation of the respective vulnerability from your report would entail a risk to the confidentiality, availability or integrity of data, services and systems that we can understand
• Please include in your report:
  • a description of the vulnerability
  • where it can be found
  • what conditions must be met for it to be exploited
  • its potential impact
  • approaches to eliminate the vulnerability

You must not:

• Exploit the security issue found yourself.
• Restrict personal rights or the confidentiality of data.
• Change THWS data and information.
• Carry out social engineering attacks.
• Cause damage to our services, systems, networks, software applications and user data.
• Restrict the use of our services, systems, applications and infrastructure. Not even by causing increased traffic, excessive port scanning or Dos / DDoS attacks.

If you comply with these rules and we can assume that you have acted in good faith:

• We will not take legal action against you, or reach out to investigating authorities to take action against you.
• We will keep you informed about the status of the remediation of the vulnerabilities.
• If requested by you, we will treat your report confidentially as far as possible.

The THWS will decide independently whether your report is suitable for inclusion in the list of acknowledged reports. Unfortunately, pseudonyms cannot be included.