Sicherheitsrichtlinie

English version below.
 

Bei Frachtwerk sind wir immer daran interessiert, unseren Kunden ein bestmögliches – und dafür möglichst sicheres – Produkt anzubieten. Für jede Unterstützung, die uns hilft, dieses Ziel zu erreichen, sind wir sehr dankbar und sind durchaus auch bereit, uns für investierten Aufwand erkenntlich zu zeigen.

Damit auf keiner Seite unnötige Arbeit entsteht und damit Erwartungen bestmöglich eingeschätzt werden können, soll die folgende Richtlinie eine klare Übersicht bieten, welchen Rahmen wir für das Finden und Kommunizieren von Sicherheitslücken setzen.

Grundsätzlich gilt dabei: Wir freuen uns über jede ernsthafte Meldung potenzieller Sicherheitslücken und wissen, dass das unter Umständen viel Wissen und Arbeit voraussetzt.

Erlaubnis

Wenn bei der Suche oder zufälligen Entdeckung die folgenden Punkte dieser Policy eingehalten werden, betrachen wir die zugehörigen Aktivitäten als autorisiert, arbeiten gerne mit dir zusammen und werden keine rechtlichen Schritte gegen dich einleiten. Sollte jemand drittes rechtliche Schritte gegen dich wegen deiner diesbezüglichen Aktivitäten einleiten, werden wir diese Erlaubnis bekannt geben.

Regeln

Im Rahmen dieser Policy kannst du Sicherheitslücken suchen und melden, solange du folgendes einhältst:

Du benachrichtigst uns umgehend, falls du eine mögliche oder tatsächliche Sicherheitslücke entdeckt hast.
Du unternimmst alles, was möglich ist, um den produktiven Betrieb unserer Systeme und die Integrität und Geheimhaltung unserer Daten nicht zu verletzen.

Du nutzt Lücken nur so weit, wie es zur Bestätigung einer Lücke notwendig ist. Du verwendest Sicherheitslücken nicht, um Daten zu verändern, zu löschen oder zu exportieren, dir dauerhaften Zugang einzurichten oder durch uns andere Systeme anzugreifen.

Du gibst uns eine faire Zeit, die gefundenen Lücken zu schließen, bevor du die Lücke veröffentlichst.
Du beendest deine Suche, sobald du eine Lücke oder sensible Daten gefunden hast und machst diese Daten nicht Dritten zugänglich.

Systeme

Zu den Systemen, die wir betreiben, gehören folgende:

  • *.frachtwerk.de
  • *.fw-hosting.space
  • *.fw-web.space
  • *.fw.systems
  • 5.182.200.0/24
  • 5.182.201.0/24


Daneben betreiben wir auch Systeme für Kunden unter jeweiligen Domains – hierzu können wir keine generelle Erlaubnis geben. Bitte melde dich daher bei support (at) frachtwerk (.) de, bevor du diese Systeme prüfst.

Unser Herz schlägt für Open Source, weswegen wir zu FOSS-Projekten beitragen und offene Software einsetzen. Bitte beachte, dass Fehler in eingesetzter Standardsoftware besser an die jeweiligen Maintainer berichtet werden sollten, da unser Einfluss begrenzt ist.

Meldungen

Falls du eine Lücke oder sensible Daten gefunden hast, freuen wir uns sehr über Post von dir. Schreibe uns dazu bitte eine E-Mail an support@frachtwerk.de.

Wenn du Kontaktdaten angegeben hast, melden wir uns innerhalb von drei Tagen bei dir. Du kannst Lücken aber natürlich auch anonym melden. Momentan stellen wir leider keinen PGP-Schlüssel zur Verfügung. Da wir unseren Mailserver selber betreiben, erreicht deine E-Mail direkt unseren Einflussbereich.

Was wir uns bei einer Meldung wünschen würden ist:

  • eine ausreichende Beschreibung der Sicherheitslücke und ihrer Auswirkungen
  • eine Liste an Schritten, mit denen die Lücke von uns geprüft werden kann
  • gerne Screenshots, Protokolle o.ä.
  • eine Meldung in Deutsch oder Englisch


Du kannst von uns erwarten, dass wir uns zeitnah bei dir melden und transparent die Behebung der Lücke kommunizieren. Wenn sich herausstellt, dass es sich um eine relevante Lücke handelt und du bemüht warst, uns bestmöglich darauf hinzuweisen, sind wir gerne bereit, uns dafür erkenntlich zu zeigen und haben dies in der Vergangenheit zuverlässig getan. Bitte sieh’ daher von Anfragen wie “Ich habe eine schwerwiegende Lücke gefunden, was möchtet ihr zahlen?” ab.

Uns erreichen regelmäßig automatisierte Anfragen zu Dingen, die wir entweder nicht ändern können oder wollen, daher sieh bitte von Meldungen zu folgenden Themen ab:

  • fehlerhafte oder fehlende Security Header (die Möglichkeit der Einbettung von frachtwerk.de in einen iframe ist z.B. keine relevante Sicherheitslücke)
  • XSS- oder CSRF-Lücken mit geringer Auswirkung
  • veraltete Versionen einer Standardsoftware, solange keine relevanten CVEs bekannt sind
    APIs in Standardsoftware, über die eine nicht-kritische Konfiguration abrufbar ist
  • fehlende Cookie-Flags
  • UI/UX-Fehler und Rechtschreibfehler
  • fehlende oder falsche DNS-Einträge


Grundsätzlich beziehen sich diese Punkte insb. auf automatisierte Berichte ohne zusätzliche Analyse der tatsächlichen Auswirkungen.

Unzulässige Methoden

Nicht zulässig im Rahmen dieser Policy sind die folgenden Tools und Methoden:

  • DDoS-Attacken aller Art
  • Social Engineering, bei denen du mit Personen von Frachtwerk in Kontakt
  • trittst
  • Physische Tests an Büros, Rechenzentren etc.
  • Aufrufe zu Tests in Foren, Social Media etc.
  • Fragen


Solltest du noch Fragen oder Ideen für die Verbesserung dieser Policy haben, schreibe uns jederzeit gerne an support@frachtwerk.de!

Security Policy

At Frachtwerk, we are always interested in offering our customers the best possible – and safest possible – product. We are very grateful for any support that helps us achieve this goal and are more than willing to show our appreciation for the effort invested.

To avoid unnecessary work on either side and to ensure that expectations can be assessed as accurately as possible, the following guidelines are intended to provide a clear overview of the framework we set for finding and communicating security vulnerabilities.

As a general rule, we welcome any serious reports of potential security vulnerabilities and recognize that this may require a great deal of knowledge and work.

Permission

If the following points of this policy are observed during the search or accidental discovery, we consider the associated activities to be authorized, are happy to work with you, and will not take legal action against you. If a third party takes legal action against you for your activities in this regard, we will disclose this permission.

Rules

Under this policy, you may search for and report security vulnerabilities as long as you comply with the following:

  • You notify us immediately if you discover a potential or actual security vulnerability.
  • You do everything possible not to interfere with the productive operation of our systems or compromise the integrity and confidentiality of our data.
  • You only exploit vulnerabilities to the extent necessary to confirm their existence.
  • You do not use security vulnerabilities to modify, delete, or export data, establish permanent access, or attack other systems through us.
  • You give us a reasonable amount of time to close the vulnerabilities you find before you disclose them.
  • You will stop your search as soon as you find a vulnerability or sensitive data and will not make this data available to third parties.

Systems

The systems we operate include the following:

  • *.frachtwerk.de
  • *.fw-hosting.space
  • *.fw-web.space
  • *.fw.systems
  • 5.182.200.0/24
  • 5.182.201.0/24


We also operate systems for customers under respective domains – we cannot give general permission for this. Therefore, please contact support@frachtwerk.de before testing these systems.

We are passionate about open source, which is why we contribute to FOSS projects and use open software. Please note that errors in standard software should be reported to the respective maintainers, as our influence is limited.

Reports

If you have found a vulnerability or sensitive data, we would be very happy to hear from you. Please send us an email at support@frachtwerk.de.

If you have provided contact details, we will get back to you within three days. Of course, you can also report vulnerabilities anonymously. Unfortunately, we do not currently provide a PGP key. Since we operate our own mail server, your email will reach us directly.

What we would like to receive in a report is:

  • A sufficient description of the security vulnerability and its effects
  • A list of steps we can take to verify the vulnerability
  • Screenshots, logs, or similar evidence
  • A report in German or English


You can expect us to respond to you promptly and communicate transparently about how we are fixing the vulnerability. If it turns out that the vulnerability is relevant and you have made every effort to bring it to our attention in the best possible way, we are happy to show our appreciation and have done so reliably in the past. Therefore, please refrain from inquiries such as “I have found a serious vulnerability, how much are you willing to pay?”

We regularly receive automated requests regarding issues that we either cannot or do not want to change, so please refrain from reporting the following topics:

  • Incorrect or missing security headers (the possibility of embedding frachtwerk.de in an iframe, for example, is not a relevant security vulnerability)
  • XSS or CSRF vulnerabilities with little impact
  • Outdated versions of standard software, as long as no relevant CVEs are known
  • APIs in standard software that allow access to non-critical configurations
  • Missing cookie flags
  • UI/UX errors and spelling mistakes
  • Missing or wrong DNS entries


Basically, these points refer in particular to automated reports without additional analysis of the actual impact.

Prohibited methods

The following tools and methods are not permitted under this policy:

  • DDoS attacks of any kind
  • Social engineering in which you contact
  • Frachtwerk employees
  • Physical tests on offices, data centers, etc.
  • Calls for tests in forums, social media, etc.
  • Questions


If you have any questions or ideas for improving this policy, please feel free to contact us at support@frachtwerk.de!

Mitglied von

Stetig&&Wandel Logo
bitkom Logo

Mitmachen

Fokus

Über uns

Nur Calculating… g CO₂ wurden von dieser Seite emittiert

Es dauerte 0,210 Sekunden, um diese Seite zu laden