Zum Hauptinhalt springen

Ethisches Hacken & Richtlinie der NN Group zur verantwortungsvollen Offenlegung

Die NN Group N.V. und ihre Tochtergesellschaften (nachfolgend gemeinsam bezeichnet als NN Group) legen großen Wert darauf, dass unsere Kundinnen und Kunden unsere Online-Dienste und Anwendungen jederzeit sicher und geschützt nutzen können. Auch wenn wir uns immer nach besten Kräften darum bemühen, die Sicherheit unserer IT-Systeme zu gewährleisten, besteht die Möglichkeit, dass Sie in unserer internetangebundenen IT-Umgebung Sicherheitsschwachstellen entdecken. Wir würden es sehr schätzen, wenn Sie Ihre Mithilfe gewähren, indem Sie uns diese auf verantwortungsvolle Weise offenlegen.

Was kommt für eine Meldung in Frage

Im Rahmen unserer Richtlinie zur verantwortungsvollen Offenlegung werden Schwachstellen in Bezug auf die Sicherheit der über das Internet angebotenen Dienstleistungen der NN Group gemeldet. Falls Sie eine solche Schwachstelle in unserem System entdeckt haben, melden Sie uns dies bitte schnellstmöglich über E-Mail. Wir möchten hier einige Beispiele auflisten:


  • Injection-Schwachstellen (SQL, XPATH usw.)
  • Cross-Site-Scripting-Schwachstellen (XSS)
  • Verschlüsselungs-Schwachstellen
  • Cross-Site-Request-Forgery (CSRF)
  • Rechteausweitung
  • Remotecode-Ausführung
  • Open-Redirect-Schwachstelle
  • usw.

Die folgenden Ergebnistypen werden ausdrücklich von dem Programm ausgeschlossen:

  • Fehlende HTTP-Sicherheitsheader, wie beispielsweise:
    • Strict-Transport-Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
    • Content-Security-Policy-Report-Only
  • SSL/TLS-Probleme, wie beispielsweise:
    • SSL-Angriffe, wie BEAST-, BREACH-Angriffe, Renegotiation-Angriffe
    • Nicht aktivierte SSL-Vorwärtsgeheimhaltung
    • SSL/TLS schwach/nicht sichere Cipher-Suites
  • Beschreibende Fehlermeldungen (z.B. Stacktraces, Anwendungs- oder Server-Fehler)
  • HTTP 404-Codes/-Seiten oder andere HTTP-Non-200-Codes/-Seiten
  • Fingerprinting-/Banner-Offenlegung auf verbreiteten/öffentlichen Diensten
  • Offenlegung von bekannten öffentlichen Dateien oder Directories (z.B. robots.txt, readme.txt, changes.txt)
  • CSRF bei Formularen, die anonymen Benutzern zur Verfügung stehen (z. B. das Kontaktformular)
  • Logout-Cross-Site-Request-Forgery (Logout-CSRF)
  • Nicht deaktivierte „Autovervollständigung-“ oder „Passwort-speichern“-Funktionalität in Anwendung oder Webbrowser
  • Fehlende Secure-Cookie-Flags und HTTPOnly- und SameSite-Cookie-Flags
  • Schwaches Captcha/Captcha-Umgehung
  • Nicht aktivierte(r) Brute-Force-Schutz und Account-Sperrung auf Login- oder Passwort-vergessen-Seite
  • OPTIONS HTTP-Methode aktiviert
  • HTTPS Mixed Content-Scripte
  • (Distributed-)Denial-of-Service-Angriffe
  • Veraltete Softwareversionen (Vergütung aber in Ausnahmefällen möglich)
  • Interaktion mit externen DNS-Diensten
  • Probleme bei der E-Mail-Konfiguration, einschließlich SPF-, DKIM- und DMARC-Einstellungen
  • DNSSEC-Konfiguration
  • Fehlende Subresource-Integrität (SRI)

Zusätzlich zu den oben aufgeführten für eine Vergütung in Frage kommenden Elementen kommen bei mobilen Anwendungen einige weitere Arten von Sicherheitslücken für eine Vergütung in Frage. Dazu gehören:


  • Exportierte Komponenten (Aktivitäten, Broadcast-Empfänger, Dienste, Dateianbieter) – ausschließlich sofern diese dazu genutzt werden können, sich unbefugten Zugriff auf Anwendungsdaten oder -funktionen zu verschaffen
  • WebViews (XSS, CSRF, LFI)
  • Nicht sichere Deeplinks (z. B. Routing-Umgehungen, Deeplinks zu XSS oder RCE, die das Risiko erhöhen können)
  • Authentifizierung (Umgehung der PIN-/Fingerabdrucksperre auf Anwendungsebene)
  • Nicht sichere Speicherung von Daten und Dateien (z. B. sensible Daten in einer allgemein lesbaren Datei; API-Schlüssel, Tokens, Benutzernamen und Passwörter)
  • Nicht sichere Kryptografie (z. B. festcodierte Verschlüsselungsschlüssel und Initialisierungsvektoren)

Die folgenden Fehlerarten führen nicht zu einer erheblichen Beeinträchtigung der Sicherheit und kommen nicht für eine Vergütung in Frage:


  • Dekompilierung/Reverse-Engineering einer Anwendung
  • Alle Zugriffe auf Daten, bei denen der betreffende Nutzer ein gerootetes Mobilgerät verwenden muss
  • Angriffe, bei denen die Angreifer-Anwendung die Berechtigung zur Überlagerung unserer mobilen App auf einem nicht sicherheitskritischen Bildschirm benötigt (z. B. Tapjacking)
  • Fehlende Zertifikatsanheftung (Certificate Pinning) (falsche Zertifikatsvalidierung kommt aber für Vergütung in Frage)
  • Bereits als gefährdet bekannte Bibliotheken ohne funktionierenden Machbarkeitsnachweis (Proof-of-Concept)
  • Fehlende Jailbreak-Erkennung in mobilen Apps
  • Fehlende Maßnahmen zur Abwehr von Exploits (z. B. PIE, ARC oder Stack-Canaries)
  • Apps, die übermäßige Berechtigungen anfordern.
  • Lokaler vorübergehender Denial-of-Service (z. B. Auslösen einer Funktion innerhalb einer App, die zum Absturz und Neustart des Telefons führt.)

Es werden nur Sicherheitslücken berücksichtigt, die auf Geräten mit Android 8.0 / iOS 11 (mit aktuellen Patches) und höher genutzt werden können.

Wir weisen besonders darauf hin, dass sich die NN Group das Recht vorbehält, eventuelle in dieser Auflistung nicht ausdrücklich ausgeschlossene Sicherheitslücken abzulehnen.

Kontakt

Was kommt nicht für eine Meldung über „responsible-disclosure@nn-group.com“ in Frage?

  • Meldung von Beschwerden über NN-Dienstleistungen und ‑Produkte
  • Fragen und Beschwerden zur Verfügbarkeit von NN-Webanwendungen
  • Meldung von Betrug oder Betrugsverdacht
  • Meldung von betrügerischen E-Mails, Spam- oder Phishing-E-Mails
  • Meldung von Malware

Wie können Sicherheitslücken gemeldet werden?

Zur Meldung einer Sicherheitslücke benutzen Sie bitte die folgende E-Mail-Anschrift: responsible-disclosure@nn-group.com. Schreiben Sie Ihre E-Mail bitte klar und verständlich (unbedingt auf Englisch). Die folgenden Punkte müssen in Ihrer E-Mail oder (vorzugsweise) in Ihrem PDF-Bericht enthalten sein:


  • Die vollständige URL (oder der Name und die Version der Anwendung)
  • Beschreibung der Sicherheitslücke
  • Eine klare Beschreibung der Auswirkungen
  • Machbarkeitsnachweis (Proof-of-Concept - PoC)
  • Mögliches Angriffsszenario sowie dessen Wahrscheinlichkeit
  • Screenshots zur Unterbauung Ihres Machbarkeitsnachweises (PoC)

Unsere Sicherheitsexperten lesen Ihre Meldung und beginnen dann sofort mit der Bearbeitung. Falls Sie eine Sicherheitslücke in unseren Webanwendungen entdeckt haben, aber zweifeln, wie Sie diese ordnungsgemäß belegen sollten, nehmen Sie trotzdem einfach Kontakt mit uns auf. Sie können auch unser Berichtstool zur Erstellung eines PDF-Berichts nutzen und diesen Bericht als Anhang an Ihre E-Mail mitschicken.

Wenn Sie dazu aufgefordert werden, weitere in Ihrem Besitz befindliche Informationen oder Beweismittel vorzulegen, und Sie dieser Aufforderung nicht innerhalb von 30 Tagen nachkommen, wird die Meldung im Rahmen des Responsible-Disclosure-Programms abgelehnt und kommt nicht mehr für ein Vergütung in Frage.

Falls die gemeldete Sicherheitslücke eine Verkettung mit anderen Sicherheitslücken erfordert, geben Sie bitte auch eine klare Beschreibung dieser Sicherheitslücken an, ebenfalls mit Machbarkeitsnachweisen (PoC) und weiteren Belegen. Sicherheitslücken, deren Ausnutzung nur theoretisch, und zwar unter derzeit nicht gegebenen Bedingungen, möglich ist, werden abgelehnt.

Regeln

Gehen Sie bei der Erforschung unserer Systeme stets in guter Absicht vor. Von Ihnen gegebenenfalls entdeckte Sicherheitslücken dürfen Sie ausschließlich im Rahmen Ihrer eigenen Untersuchung nutzen. Behandeln Sie eine entdeckte Sicherheitslücke streng vertraulich, bis Sie mit der NN Group vereinbart haben, wann und wie die Sicherheitslücke offengelegt werden soll.

Wir verbieten Ihnen ausdrücklich, Sicherheitsuntersuchungen an unseren Systemen und (Online-)Anwendungen durchzuführen, die zu einer erheblichen Beeinträchtigung der Leistung oder Verfügbarkeit führen würden, wie zum Beispiel:


  • (Distributed-)Denial-of-Service-Angriffe (DDoS)
  • Nutzung von Exploits, die zur Bearbeitung, Beschädigung oder Löschung von Daten führen
  • Jede Aktivität, die unsere (Online-)Dienste beeinträchtigen könnte
  • Änderungen an Systemen oder Konfigurationen
  • Einbau von Hintertüren in unsere Systeme
  • Brute-Force-Angriffe
  • Social-Engineering
  • Weitergehendes Eindringen in das System als erforderlich
  • Weitergabe eines gelungenen Zugangs oder entdeckter Sicherheitslücken an Dritte
  • Einsatz automatischer Webanwendungs-Scanner (Burp Suite, OWASP ZAP, Webinspect usw.)

Bitte gefährden Sie auch auf keinen Fall die Sicherheit der Daten anderer Nutzer:


  • Beschränken Sie eventuelle Tests auf Konten, die Ihnen selbst gehören und die keine Auswirkungen für andere Nutzer haben.
  • Bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, die Vernichtung von Daten sowie Unterbrechungen oder Beeinträchtigungen unserer Dienste zu vermeiden. Kopieren Sie niemals mehr Daten, als für Ihre Untersuchung unbedingt erforderlich sind.
  • Bitte setzen Sie sich umgehend mit uns in Verbindung, falls Sie versehentlich auf personenbezogene oder sensible Daten anderer Personen treffen sollten. Betrachten Sie diese Daten nicht, ändern, speichern, archivieren, teilen oder übertragen Sie sie nicht und greifen Sie auch nicht anderweitig darauf zu. Löschen Sie sofort alle lokalen Informationen, nachdem Sie uns die Sicherheitslücke gemeldet haben.
  • Für jeden festgestellten Verstoß gegen den Datenschutz benötigen wir eine Bestätigung, dass alle erfassten Daten gelöscht wurden und nicht wiederhergestellt werden können bzw. werden.

Ein Verstoß gegen diese Regeln, gegen geltendes Recht oder gegen ethische Verhaltensgrundsätze kann zu Ihrem Ausschluss aus dem Responsible-Disclosure-Programm der NN Group N.V. führen.

Komme ich für eine Vergütung in Frage?

Wenn Sie Sicherheitslücken melden, kommen Sie möglicherweise für eine finanzielle Vergütung in Frage. Die Höhe der Vergütung richtet sich nach der Schwere der Sicherheitslücke und der Qualität der Meldung.

Damit Sie für eine Vergütung in Frage kommen, gelten die folgenden Bedingungen:


  • Die Webanwendung gehört der NN Group
  • Ihre Untersuchung und Ihr Bericht erfüllen alle oben genannten Regeln
  • Die Sicherheitslücke war bis zu diesem Zeitpunkt noch NICHT gemeldet worden.
  • Das Ergebnis wird ausführlich beschrieben und belegt (und enthält möglichst einen Machbarkeitsnachweis (PoC)).
  • Das Ergebnis ist stichhaltig.

Sicherheitslücken in Bezug auf in die IT-Umgebung der NN Group integrierte Websites und Anwendungen von Drittanbietern kommen nicht für eine Vergütung in Frage.

Falls Sie Anspruch auf eine Vergütung haben, benötigen wir Ihre persönlichen Daten und Ihre Bankverbindung. Die NN Group N.V. zahlt Ihre Vergütung nicht über PayPal oder ähnliche Dienste aus.

Sollte die von Ihnen gemeldete Sicherheitslücke auch von anderen gemeldet worden sein, wird die Vergütung ausschließlich an den Erstmelder ausgezahlt.

Bitte beachten Sie: Wenn Sie Ihre Ergebnisse veröffentlichen, bevor die Fehler behoben wurden, und ohne Genehmigung der NN Group N.V., kommen Sie auf gar keinen Fall mehr für eine Vergütung in Frage.

Die NN Group N.V. behält sich das Recht vor, Meldungen von Zero-Day-Schwachstellen und anderen öffentlich bekannten Sicherheitslücken (Common Vulnerabilities and Exposures), die innerhalb der letzten 90 Tage vor dem Datum Ihrer verantwortungsvollen Offenlegung offengelegt wurden, von einer Vergütung auszuschließen.

Falls dieselbe Sicherheitslücke in verschiedenen Servern, Diensten oder Lösungen auftritt, wird die Vergütung für diese Sicherheitslücke möglicherweise nur einmal ausgezahlt, sofern der Codebasis und die Behebung identisch sind. Darüber hinaus wird bei Anwendungen, die auf derselben Codebasis beruhen, die Vergütung nur einmal ausgezahlt, außer wenn eine umgebungsspezifische Sicherheitslücke entdeckt wird. Die NN Group N.V. behält sich das Recht vor, die diesbezügliche Entscheidung in dem jeweiligen Einzelfall zu treffen.

Wie gehen wir mit Ihrem Ergebnis vor?

Alle Meldungen werden mit derselben Sorgfalt behandelt. Innerhalb von fünf Werktagen nach Eingang Ihrer Meldung erhalten Sie eine Antwort von uns. Wir werden die Sicherheitslücke prüfen, verifizieren und untersuchen und Ihnen die Vergütung bezahlen, sofern die Meldung die obigen Voraussetzungen erfüllt. Anschließend beheben wir die Sicherheitslücke, wobei wir Sie möglicherweise um Feedback zur beabsichtigten Lösung bitten.

Hinweise zum Datenschutz

Wir legen großen Wert auf den Schutz Ihrer Privatsphäre. Wir verwenden Ihre Kontaktdaten ausschließlich für die Kommunikation, die wir im Rahmen des Responsible-Disclosure-Verfahrens mit Ihnen führen, sowie für die Auszahlung Ihrer eventuellen Vergütung. Wir geben Ihre personenbezogenen Daten nur dann ohne Ihre Zustimmung an Dritte weiter, wenn wir gesetzlich dazu verpflichtet sind oder eine externe Organisation die Untersuchung der von Ihnen gemeldeten Sicherheitslücke übernimmt. In diesem Fall stellen wir auf jeden Fall sicher, dass die zuständige Behörde oder Organisation Ihre personenbezogenen Daten vertraulich behandelt.

Kann ich eine Meldung anonym abgeben?

Sicherheitslücken können anonym gemeldet werden. Sie sind nicht dazu verpflichtet, bei der Meldung einer Sicherheitslücke Kontaktdaten anzugeben. Beachten Sie aber, dass wir Sie bei einer anonymen Meldung nicht bezüglich einer Namensnennung oder Ihrer eventuellen Vergütung kontaktieren können.

Internationales Recht

Die vorliegende Richtlinie zur verantwortungsvollen Offenlegung unterliegt dem niederländischen Recht. Wenn Sie in einem anderen Land ansässig sind, beachten Sie bitte die dortige Rechtslage, da in anderen Länder möglicherweise andere Gesetze in Bezug auf die verantwortungsvolle Offenlegung gelten. Das heißt, dass Sie den Rechtsmitteln des jeweiligen Landes unterliegen oder möglicherweise im Rahmen der Umsetzung des örtlichen Rechts Behörden gegen Sie vorgehen, auch wenn die NN Group selbst keine rechtlichen Schritte einleitet oder keine Anzeige bei einer Strafverfolgungsbehörde erstattet.

Niederländisches Recht

Wenn Sie eine Sicherheitslücke entdecken und diese untersuchen, begehen Sie damit möglicherweise strafbare Handlungen. Wenn Sie sich an die Regeln unserer Richtlinie zur verantwortungsvollen Offenlegung bei der Meldung von Sicherheitslücken in unseren Systemen gehalten haben, werden wir Ihre Straftat weder zur Anzeige bringen noch Ersatzansprüche geltend machen.

Wir weisen Sie aber darauf hin, dass die Entscheidung, ob ein Strafverfahren gegen Sie eingeleitet wird, nicht von der NN Group, sondern von der niederländischen Staatsanwaltschaft („Openbaar Ministerie“) getroffen wird, und zwar unabhängig davon, ob die NN Group eine Meldung bei den niederländischen Behörden vornimmt. Die NN Group sichert Ihnen weder zu, noch garantieren wir Ihnen in irgendeiner anderen Weise, dass Sie nicht strafrechtlich verfolgt werden, falls Sie bei der Untersuchung einer Sicherheitslücke eine Straftat begehen.

Das Nationale Zentrum für Cybersicherheit („Nationaal Cyber Security Centrum“) des niederländischen Ministeriums für Sicherheit und Justiz hat Leitlinien für die Meldung von Schwachstellen in IT-Systemen erstellt. Diese Leitlinien haben wir unseren Regeln zugrunde gelegt.