Responsible Disclosure
Verantwortungsvolle Offenlegung entdeckter Sicherheitslücken
Wir legen größten Wert auf die Sicherheit unserer Informations- und Kommunikationssysteme. Trotzdem können Sicherheitslücken nicht zu 100 % ausgeschlossen werden. Es ist illegal, diese Lücken auszunutzen oder zu missbrauchen!
Sicherheit, Zuverlässigkeit und Transparenz sind für uns sehr wichtige Grundsätze. Obwohl wir große Anstrengungen unternehmen, um die Sicherheit unserer Informations- und Kommunikationssysteme zu gewährleisten, stetig zu verbessern und weiterzuentwickeln, kann es vorkommen, dass Schwachstellen darin verbleiben oder durch neue Angriffsmechanismen entstehen.
Um zu verhindern, dass Angreifer entdeckte Sicherheitslücken ausnutzen, empfiehlt das Bundesamt für Informationssicherheit (BSI) die Übernahme des Grundsatzes des "Responsible Disclosure". Das bezeichnet die verantwortungsvolle Offenlegung entdeckter Sicherheitslücken. Die Anwendung dieses Prinzips umfasst die Koordination und vertrauensvolle Zusammenarbeit zwischen dem Entdecker der Sicherheitsverletzung und dem jeweiligen Hersteller oder Dienstleister.
Eine natürliche oder juristische Person, welche eine Sicherheitslücke entdeckt, sollte im Sinne einer verantwortungsvollen Offenlegung wie folgt vorgehen:
- Melden Sie eine Sicherheitslücke an LOTTO Sachsen-Anhalt, indem Sie uns eine entsprechende E-Mail senden. Geben Sie so viele Informationen über die Sicherheitslücke wie möglich an. Die Meldung kann anonym erfolgen. Nach Meldung der Sicherheitslücke löschen Sie sämtliche personenbezogenen oder vertraulichen Daten, die im Rahmen der Entdeckung in Ihren Besitz gelangt sind.
- Nutzen Sie eine gefundene Sicherheitslücke nicht aus, um mehr Daten zu erlangen als zum Nachweis der Sicherheitslücke notwendig ist oder um Daten Dritter zu erlangen, auszuspähen, zu verändern, zu löschen oder weiterzugeben oder um die Verfügbarkeit des Dienstes absichtlich zu beeinträchtigen.
- Alle Aktivitäten, die zur Entdeckung der Sicherheitslücke geführt haben, müssen sich im Rahmen der Gesetze und des normalen Nutzungsverhaltens auf den Websites von LOTTO Sachsen-Anhalt bewegen. Ausdrücklich von LOTTO Sachsen-Anhalt untersagt, ist die Nutzung jeglicher Testmethoden und Testtools zur Überprüfung von Websites/Apps auf Sicherheitslücken.
- Informieren Sie Dritte nicht über die Sicherheitslücke. Die gesamte Kommunikation bezüglich der Sicherheitslücke wird von LOTTO Sachsen-Anhalt koordiniert.
- Im Falle einer nicht-anonymen Meldung informiert LOTTO Sachsen-Anhalt den Melder über das weitere Vorgehen und Fortschritte bei der Schließung der Sicherheitslücke.
- Geben Sie uns ausreichend Zeit, auf Ihren Hinweis zu reagieren und die Sicherheitslücke zu beheben.
Melden Sie über folgende E-Mailadresse eine erkannte Sicherheitslücke:
responsible-disclosure@sachsen-anhalt-lotto.de
Wir werden die anonym Meldenden nicht identifizieren und keine rechtlichen Schritte gegen diejenigen einleiten, die ihr Wissen über die Sicherheitslücke mit zulässigen Methoden erworben, nicht missbraucht und nicht an Dritte weitergegeben haben.
Ihre Meldung wird vertraulich behandelt und Ihre personenbezogenen Informationen nicht ohne Ihre Zustimmung mit Dritten geteilt, sofern dies nicht zur Erfüllung gesetzlicher Pflichten oder aufgrund eines Gerichtsurteils vorgeschrieben ist.