Zuletzt aktualisiert: 5. September 2019
Kraken Security Labs führt routinemäßig Untersuchungen zur Sicherheit von häufig verwendeten Anwendungen, Hardware und Produkten durch. Diese Untersuchungen dienen der Aufklärung und dem Schutz der Endnutzer solcher Dienste und Produkte. Die Richtlinie beschreibt, wie Kraken Security Labs mit der verantwortungsvollen Offenlegung von Sicherheitslücken umgeht, wenn Sicherheitslücken in Produkten und Diensten von Drittanbietern entdeckt werden.
Kraken Security Labs wird den zuständigen Anbieter über eine Sicherheitslücke in seinem Produkt/seinen Produkten und/oder seiner Dienstleistung/seinen Dienstleistungen informieren. Der erste Kontaktversuch erfolgt über geeignete Ansprechpartner oder formale Mechanismen, die auf der Website des Anbieters aufgeführt sind. Wenn solche Kontaktinformationen nicht veröffentlicht sind, wird Kraken Security Labs alle zumutbaren Anstrengungen unternehmen, ein geeignetes Kontaktmedium zu finden. Sobald ein formeller oder geeigneter Kontaktweg gefunden wurde, werden die relevanten Informationen über die Sicherheitslücke sicher an den Anbieter übermittelt.
Bestätigt der Anbieter die Erstbenachrichtigung nicht innerhalb von fünf (5) Werktagen, wird Kraken Security Labs einen zweiten Kontaktversuch beim Anbieter einleiten. Wenn Kraken Security Labs alle oben genannten Möglichkeiten zur Kontaktaufnahme mit dem Anbieter ausgeschöpft hat, kann Kraken Security Labs nach fünfzehn (15) Werktagen nach dem Versuch der Erstkontaktaufnahme eine öffentliche Bekanntmachung herausgeben, in der die Ergebnisse offengelegt werden.
Geht innerhalb des oben genannten Zeitrahmens eine Antwort des Anbieters ein, bittet Kraken Security Labs den Anbieter darum, einen gewünschten Zeitrahmen für die Behebung der Sicherheitslücke anzugeben. Kraken Security Labs gewährt dem Anbieter bis zu neunzig (90) Kalendertage, um die Sicherheitslücke mit einem Patch zu beheben. Wenn die Sicherheitslücke zum Ablauf der Frist oder früher (sofern vom Anbieter benachrichtigt) behoben wurde oder der Anbieter nicht reagiert oder keine angemessene Erklärung dafür liefern kann, warum die Sicherheitslücke nicht behoben wird, wird Kraken Security Labs eine öffentlich zugängliche Bekanntmachung ausgeben, die Empfehlungen zur Abhilfe enthält, um die Endnutzer zu schützen.
Kraken Security Labs wird sich nach besten Kräften bemühen, mit den Anbietern zusammenzuarbeiten, um sicherzustellen, dass sie die technischen Details und den Schweregrad der gemeldeten Sicherheitslücke verstehen. Wenn ein Produktanbieter eine bestimmte Sicherheitslücke nicht patchen kann oder will, kann Kraken Security Labs anbieten, mit diesem Anbieter zusammenzuarbeiten, um die Sicherheitslücke mit einigen effektiven Problemumgehungen öffentlich bekannt zu machen.
Ist Kraken Security Labs der Ansicht, dass die Öffentlichkeit aufgrund des Risikos oder der Sicherheit für den Endnutzer eines Produkts oder einer Dienstleistung unverzüglich über eine Sicherheitslücke informiert werden muss, wird Kraken Security Labs den Anbieter und die Öffentlichkeit gleichzeitig über seine Erkenntnisse informieren. In der Kommunikation mit dem Anbieter wird Kraken Security Labs die Faktoren aufführen, die bei der Entscheidung zur sofortigen Veröffentlichung der Ergebnisse herangezogen wurden.