Richtlinie zur Meldung von Sicherheitslücken (Vulnerability Disclosure)

1. Einführung

Diese Richtlinie beschreibt den Umgang von Energie Wasser Bern (ewb) mit Meldungen zu Sicherheitslücken in unseren digitalen Angeboten und ITSystemen. Ziel ist, Meldungen zu ermöglichen, die Risiken für Betroffene zu reduzieren, Schwachstellen koordiniert zu beheben und Forschende rechtlich zu entlasten, sofern sie in gutem Glauben handeln. Die Richtlinie stellt klar, welche Systeme betroffen sind, welche Meldekanäle bestehen und welche Regeln für Test- und Meldungsverhalten gelten.

2. Scope

Gegenstand dieser Richtlinie sind alle digitalen Angebote und Dienste, für die ewb Verantwortung trägt, beispielsweise Domains und Services unter *.ewb.ch sowie von ewb betriebene APIs, Portale und BackEndSysteme.

3. Out-of-Scope

Nicht unter diese Richtlinie fallen Systeme, die klar von Dritten betrieben werden (z. B. CloudServices oder Subanbieter), Drittprodukte und fremde Infrastrukturen, für die andere Organisationen zuständig sind. Entdeckte Schwachstellen in solchen Systemen leiten wir an den jeweiligen Eigentümer weiter; die Verantwortung für Beseitigung und weitere Massnahmen liegt beim Eigentümer des betroffenen Systems.

4. Rahmenbedingungen und Regeln

4.1. Grundsätze

  • ewb will proaktiv mit Sicherheitsforschenden zusammenarbeiten und ermutigt verantwortungsvolle Meldungen. 
  • Wenn Sie Schwachstellen in redlicher Absicht und gutem Glauben melden – also mit dem Ziel, dass diese behoben werden – und sich dabei an diese Richtlinie halten, wird ewb in der Regel keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
  • Diese Richtlinie begründet keinen umfassenden rechtlichen Schutz gegenüber Dritten; sie hilft jedoch, die Vorgehensweise von ewb gegenüber Behörden und Dritten zu erklären.

4.2. Was erlaubt ist

Forschende, die im Rahmen dieser Richtlinie testen, halten sich an folgende Regeln:

  • Melden Sie Schwachstellen umgehend und nur über einen der offiziellen Kanäle (siehe Abschnitt 6) 
  • Testen Sie nur so weit wie nötig, um die Schwachstelle zu beweisen (Proof-of-Concept)
  • Interagieren Sie nur mit eigenen Testkonten oder mit anderen Konten, für die Sie ausdrückliche schriftliche Erlaubnis haben
  • Exfiltrieren, verändern oder löschen Sie keine Daten von Dritten; begrenzen Sie den Zugriff auf das absolute Minimum zur Reproduzierbarkeit 
  • Verwenden Sie keine Attacken, die Verfügbarkeit gefährden (z. B. DoS), keine Social-Engineering-Techniken gegen Personen und keine Malware
  • Geben Sie in Ihrer Meldung technische Details an (betroffene URL(s), Reproduktionsschritte, Zeitstempel, verwendete IP-Adressen, Browser/Client Infos, Proof-of-Concept-Code). Je mehr relevante Informationen, desto schneller die Analyse 
  • Der Inhalt einer Schwachstellenmeldung ist vertraulich, da er sicherheitskritische Informationen enthält. Er darf nicht Dritten zugänglich gemacht oder gar publiziert werden
  • Koordinieren Sie eine geplante Veröffentlichung mit ewb

4.3 Was untersagt ist

Folgende Handlungen sind nicht erlaubt und widersprechen dieser Richtlinie: 

  • Tests, die Systeme nachhaltig stören oder den Geschäftsbetrieb gefährden (z. B. Ransomware, DoS)
  • Datendiebstahl
  • Zerstörung oder Manipulation von Daten oder Systemen, die Ihnen nicht gehören
  • Physische Angriffe oder Einschüchterungen von Mitarbeitenden, Kunden oder Lieferanten
  • Spionage, Geheimnisverletzungen (bspw. von Fabrikations- und Geschäftsgeheimnissen)
  • Social Engineering gegenüber Mitarbeitenden, Kundinnen oder Partnern
  • Forderungen mit der Meldung zu stellen

4.4 Folgen und Rechtliches

  1. Hält sich eine meldende Person an diese Richtlinie, interpretiert ewb das Vorgehen in der Regel als autorisierten Zugriff im Rahmen der Policy und wird keine zivil oder strafrechtlichen Schritte gegen die Person einleiten; ewb behält sich jedoch vor, bei gravierenden Verstössen (z. B. klar vorsätzlichen Schäden) rechtlich vorzugehen.
  2. Sollte eine Drittpartei rechtliche Schritte gegen eine meldende Person einleiten, wird ewb, sofern die meldende Person im Einklang mit dieser Richtlinie gehandelt hat, den Sachverhalt gegenüber Behörden erläutern und darlegen, dass die Meldung in gutem Glauben erfolgte.
  3. Diese Richtlinie unterliegt dem schweizerischen Recht. Der ausschliessliche Gerichtsstand für alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Richtlinie entstehen, ist Bern, Schweiz. Zwingende Gerichtsstände bleiben vorbehalten.

Wichtige Hinweise

  • Ein Legal Safe Harbor durch ewb gilt nur insoweit, als ewb selbst auf Grundlage der vorliegenden Informationen entscheiden kann; die Richtlinie bindet Dritte und Behörden nicht automatisch.
  • Wenn Sie unsicher sind, ob ein geplanter Test zulässig ist, kontaktieren Sie ewb vorab über den Kanal für anonyme Rückfragen (siehe Abschnitt 6).
  • ewb behandelt Meldungen vertraulich und gibt personenbezogene Daten nur mit Zustimmung der betroffenen Person oder soweit gesetzlich notwendig weiter.

Meldekanäle und Einreichungsbedingungen

ewb bietet zwei formalisierte Meldewege an. Wählen Sie den Kanal entsprechend Ihrem Bedürfnis nach Feedback, rechtlicher Absicherung und Kommunikation. 

Kanal A: Benannte Meldungen via BugBounty Plattform 

Zweck: Für Sicherheitsforschende, die eine koordinierte Kommunikation, Nachverfolgbarkeit und mögliche Anerkennung wünschen.

Ablauf & Bedingungen

  • Nutzen Sie die von ewb bereitgestellte BugBounty Plattform. Reichen Sie eine vollständige technische Beschreibung ein (siehe Abschnitt 4.2). Bounty Plattform (Link wird von ewb publiziert). Reichen Sie eine vollständige technische Beschreibung ein (siehe Abschnitt 4.2). 
  • ewb bestätigt den Eingang einer Meldung zeitnah und führt eine Triage durch. 
  • ewb arbeitet proaktiv mit Ihnen zusammen, um Reproduktionsschritte zu verifizieren und die Behebung zu koordinieren.
  • Veröffentlichung: Eine koordinierte Veröffentlichung ist möglich; Details und Zeitpunkt sind mit ewb abzustimmen. 
  • Exploit Code oder detaillierte Proof-of-Concepts dürfen nicht öffentlich gemacht werden.
  • ewb kann Anerkennung (z. B. Nennung als Finder/in) nach Absprache gewähren.

Kanal B: Anonyme Meldungen via ewb-Meldetool 

Zweck: Für Personen, die anonym bleiben möchten oder keine weitere Korrespondenz wünschen.

Ablauf & Bedingungen

  • Anonyme Meldungen können über ein gesichertes Meldetool eingereicht werden.
  • Bei anonymen Meldungen führt ewb eine faktenbasierte Prüfung durch; Rückfragen sind aufgrund fehlender Kontaktdaten nicht möglich.
  • Anonyme Meldungen sind grundsätzlich nicht für koordinierte Veröffentlichungen vorgesehen; ewb wird in diesen Fällen keine Rücksprache zur Veröffentlichung führen.
  • Anonyme Meldungen sollten dennoch möglichst genaue technische Informationen enthalten, damit eine Validierung möglich ist

Technische Sicherheit des Meldens

ewb stellt, wo möglich, einen verschlüsselten Kanal (z. B. PGP) oder TLS gesicherte Formulare zur Verfügung, um die Vertraulichkeit der Einreichung zu erhöhen. ewb informiert die meldende Person (sofern bekannt) über den Fortschritt und die Behebung – je nach gewähltem Kanal und Vertraulichkeitsstufe.

Der Schutz Ihrer Privatsphäre ist uns wichtig

Wir verwenden Cookies, um die Funktionalität unserer Websites zu gewährleisten, die Zugriffe zu analysieren und Anzeigen zu personalisieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Mit Ausnahme der für das Funktionieren der Websites notwendigen Cookies können Sie untenstehend auswählen, welche Cookies Sie aktivieren resp. deaktivieren möchten.

Datenschutzerklärung