Responsible Disclosure Policy der Universität Klagenfurt

Die Sicherheit unserer Systeme und Produkte ist uns ein großes Anliegen und hat höchste Priorität.

Trotz aller Bemühungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen in IT-Systemen und Webanwendungen der Universität Klagenfurt entdecken, bitten wir Sie, uns darüber zu informieren.
Wir werden umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.

Bitte beachten Sie, dass wir eine öffentliche Einrichtung sind und daher keine Gegenleistung (Bug-Bounty-Programm) für Ihre Bemühungen anbieten können.

Wie kann ich eine Schwachstelle melden?

Informieren Sie sich vorab, welche Vorfälle nicht in den Geltungsbereich unserer Responsible Disclosure Policy (RDP) fallen und in diesem Rahmen nicht bearbeitet werden.
Nehmen Sie Kontakt zum IT Security Officer der Universität Klagenfurt unter responsible-disclosure [at] aau [dot] at auf.
Informieren Sie uns, wann, wo und wie die Schwachstelle oder das Problem auftritt. Nur mit hinreichenden Informationen (schriftlicher Bericht mit Screenshots) können wir die Schwachstelle bzw. das Problem reproduzieren und analysieren. Exfiltrieren Sie jedoch bitte keine Daten, um uns Proben zur Verfügung zu stellen.
Hinterlassen Sie Kontaktdaten (E-Mail-Adresse) für eventuelle Rückfragen.

Welche Vorfälle sind NICHT Teil der Responsible Disclosure Policy (Out of Scope)?

Folgende Vorfälle sind nicht Teil der Responsible Disclosure Policy und werden demnach nicht entsprechend behandelt:

Physische Angriffe gegen Rechenzentren oder Eigentum der Unternehmensgruppe
Social Engineering Angriffe, die auf Mitarbeiter:innen oder Kund:innen abzielen (zum Beispiel: das Fälschen von Anmeldeseiten, Kundenservice, Social Media)
Verbreitung von Spam
Denial of Service Angriffe
Fehlende HTTP Security Header ohne spezifische Auswirkungen
Fehler, die nur durch Clickjacking ausnutzbar sind
Self-XSS
Schwachstellen, die eine unwahrscheinliche Benutzer:inneninteraktion erfordern (zum Beispiel: Deaktivierung von Browserschutzmaßnahmen)
Offenlegung von Informationen, die als öffentlich markiert sind
Angriffe, die einen Man-in-the-Middle erfordern
Fehlerhafte Social-Media-Links (melden Sie diese bitte an webredaktion [at] aau [dot] at).

Was tut die Universität Klagenfurt mit meiner Meldung?

Wir senden Ihnen eine Bestätigung zum Eingang Ihrer Meldung.
Wir validieren Ihren Bericht über die beschriebene Schwachstelle und werden umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.
Wir behandeln Ihren Bericht vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter.
Wir informieren Sie zeitnah über das Ergebnis unserer Analyse und über die ergriffen Maßnahmen.

Worum wir Sie bitten

Gehen Sie verantwortungsbewusst mit dem Wissen um die Schwachstelle um und geben Sie die Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde von der Universität Klagenfurt ausdrücklich autorisiert.
Nutzen Sie eine Sicherheitslücke nicht aus, um andere Sicherheitslücken zu finden oder indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Codes hochladen.
Führen Sie keine Angriffe auf unsere IT-Systeme durch, die Infrastruktur und Personen kompromittieren, verändern oder manipulieren.
Führen Sie keine Social-Engineering– (z. B. Phishing), (Distributed) Denial of Service-, Spam- oder andere Angriffe auf die Universität Klagenfurt durch.

Wir danken Ihnen im Voraus für Ihre Einsendung und freuen uns über Ihre Unterstützung bei unseren Sicherheitsbemühungen zum Schutz unserer Gemeinschaft.

Kontakt

responsible-disclosure [at] aau [dot] at