SySS Responsible Disclosure Policy

Wir forschen und zeigen Verantwortung

Die SySS GmbH geht verantwortungsvoll mit Sicherheitsproblemen um. Schwachstellen in Produkten, die nicht von Kunden der SySS GmbH hergestellt wurden oder allgemein durch vertragliche Vereinbarungen von einer Veröffentlichung ausgeschlossen sind, werden im Rahmen unseres Prozesses zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen (Responsible Disclosure) schriftlich in Form eines Security Advisory an betroffene Hersteller gemeldet.  

Das Security Advisory gibt detaillierte Informationen zu der gefundenen Schwachstelle, sodass der Hersteller das Sicherheitsproblem nachvollziehen und weiter untersuchen kann. Schwachstellen werden, nachdem der Hersteller eine Lösung bereitgestellt hat oder 45 Tage nachdem sie von der SySS GmbH vertraulich an den Hersteller gemeldet wurden, veröffentlicht. Das ist unabhängig davon, ob die Schwachstelle zu diesem Zeitpunkt durch einen Patch oder Workaround vom Hersteller behoben worden ist.

In begründeten Ausnahmefällen sind wir bereit von diesem Standardvorgehen abzuweichen und gemeinsam mit dem Hersteller einen alternativen Zeitplan für die koordinierte Veröffentlichung der Schwachstelle zu vereinbaren. Ziel der SySS Responsible Disclosure Policy ist es, überlegt das Interesse der Öffentlichkeit über Sicherheitsschwachstellen informiert zu sein gegen die Zeit für eine wirksame Behebung durch den Hersteller abzuwägen. Der endgültige Zeitplan für die Veröffentlichung einer Schwachstelle wird nach bestem Wissen unter Berücksichtigung dieser beiden Positionen gewählt. Die SySS GmbH bietet Herstellern die Möglichkeit, vor der Veröffentlichung einer Schwachstelle das Sicherheitsproblem zu analysieren, dieses zu beheben und durch ausführliche Tests die Lösung zu überprüfen.