Verhaltenskodex zur Offenlegung von Schwachstellen

Einführung

Die Landeshauptstadt München legt großen Wert auf die Sicherheit ihrer IT-Systeme. Trotz sorgfältiger Implementierung und Tests können Schwachstellen in unseren IT-Services jedoch nie ganz ausgeschlossen werden. Dieser Verhaltenskodex beschreibt, wie wir uns die Aufdeckung und Offenlegung solcher Schwachstellen vorstellen, wie Sie uns über entdeckte Schwachstellen informieren können und welches Verhalten Sie von uns erwarten dürfen. 

Grundvoraussetzungen

Wir ermutigen Sie, uns bei (potenziellen) Schwachstellen in unseren IT-Systemen und Webanwendungen zu kontaktieren.

Wenn Sie mit guter Absicht handeln, um Schwachstellen in den IT-Systemen der Stadtverwaltung München zu identifizieren und an uns zu melden, damit die Schwachstellen schnellstmöglich geschlossen werden können, und unsere Vorgaben hierfür befolgen, werden wir mit Ihnen zusammenarbeiten, um die Probleme schnell zu beheben. 

Grundsätzlich beabsichtigt die Stadtverwaltung München keine strafrechtlichen Schritte im Zusammenhang mit den Aktivitäten zur Identifizierung von Schwachstellen in den IT-Systemen einzuleiten, solange diese im Einklang mit diesem Verhaltenskodex durchgeführt werden.

Gehen Sie dafür bitte wie folgt vor

• Beschränken Sie die durchzuführenden Maßnahmen beziehungsweise Tests zur Identifizierung von Schwachstellen auf ein notwendiges Maß.
• Achten Sie bei der Auswahl von Detektionsmaßnahmen auf Erforderlichkeit und stellen Sie sicher, dass im Rahmen Ihrer Maßnahmendurchführung keine Schäden oder Störungen an den IT-Systemen der Landeshauptstadt München entstehen.
• Nutzen Sie die Schwachstelle nicht böswillig aus, um beispielsweise Daten über das notwendige Maß hinaus herunterzuladen oder zu verändern. Minimale Datenbeispiele oder harmlose Codes als Machbarkeitsnachweis gelten nicht als Ausnutzung.
• Veröffentlichen Sie keine Daten, die während der Entdeckung heruntergeladen wurden, oder geben diese an Dritte weiter, außer, dies wurde durch die Landeshauptstadt München autorisiert.
• Veröffentlichen Sie die Schwachstelle oder das Problem nicht oder legen es anderen Parteien offen, bevor es behoben wurde.
• Stellen Sie Ihre Tests ein, wenn Sie sensible Informationen (personenbezogene Daten – PII, medizinische, finanzielle, geschützte Informationen oder Geschäftsgeheimnisse) entdecken.
• Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie, nach Möglichkeit, auch eine Kontaktmöglichkeit für Rückfragen bereit.
• In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.
• Verwenden Sie nach Möglichkeit unser Melde-Formular und beachten Sie die dortigen Hinweise zum Datenschutz.
• Verfassen Sie Ihre Meldung in Englisch oder Deutsch.

Vermeiden Sie folgende Aktivitäten

• Tests oder Angriffe, die IT-Systeme, IT-Infrastrukturen oder Personen kompromittieren oder manipulieren.
• Malware wie Viren oder Trojaner auf Systemen platzieren.
• Systeme mit Exploits kompromittieren, um Kontrolle zu erlangen.
• Daten kopieren, ändern oder löschen.
• Änderungen am System vornehmen.
• Wiederholte Zugriffe auf das System durchführen oder den Zugriff mit Dritten teilen.
• Jeglichen erhaltenen Zugang nutzen, um auf andere Systeme zuzugreifen.
• Zugriffsrechte anderer Benutzer ändern.
• Automatisierte Scanning-Tools verwenden.
• Brute-Force-, Denial-of-Service- oder Social-Engineering-Angriffe durchführen.
• Angriffe auf die physische Sicherheit ausführen.

Was Sie von uns erwarten können

• Wir bestätigen den Eingang Ihrer Meldung innerhalb von drei Werktagen und informieren Sie über die Validität der Schwachstelle sowie über den Fortschritt der Bearbeitung.
• Wir behandeln Ihren Bericht vertraulich und verarbeiten Ihre personenbezogenen Daten gemäß den geltenden Datenschutzbestimmungen.
• Wir versuchen die Schwachstelle so schnell wie möglich zu schließen.
• Wir unterhalten kein Bug-Bounty-Programm und können daher weder monetäre noch andere Belohnungen anbieten.
• Wir schätzen Ihre Unterstützung und arbeiten gemeinsam für ein sicheres digitales München.

Qualifizierte Meldung von Schwachstellen

Jedes Design- oder Implementierungsproblem, das reproduzierbar ist und die Sicherheit beeinträchtigt, kann gemeldet werden.

Häufige Beispiele sind:

• Cross-Site Request Forgery (CSRF)
• Cross-Site Scripting (XSS)
• Insecure Direct Object Reference
• Remote Code Execution (RCE) – Injection Flaws
• Information Leakage und improper Error Handling
• Unbefugter Zugriff auf Konten oder Eigenschaften
• und viele mehr

Nicht benötigte Hinweise

Die folgenden Schwachstellen oder IT-Sicherheitslücken gelten nach dem Verhaltenskodex der Stadtverwaltung München als nicht meldungswürdig:

• Angriffe, die physischen Zugriff auf Geräte oder Netzwerke erfordern.
• Formulare ohne CSRF-Token (außer bei kritischen Schwachstellen über CVSS-Stufe 5).
• Fehlende Sicherheitsheader, die nicht zu einer ausnutzbaren Schwachstelle führen.
• Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
• Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
• Bots, Spam oder Massenregistrierung.
• Einreichung von Best Practices (zum Beispiel certificate pinning, security header).

Meldung einer Schwachstelle

Bitte nutzen Sie unser Melde-Formular für die Einreichung von Schwachstellen.