Sicherheit bei Net at Work

Net at Work ist Hersteller des modularen E-Mail-Security-Gateways NoSpamProxyWir führen das Gütesiegel “IT Security made in Germany”, sind Mitglied im TeleTrust Bundesverband für IT-Sicherheit und der Allianz für Cybersicherheit. Die Sicherheit unserer Produkte sowie die Privatsphäre unserer Kunden liegen uns sehr am Herzen.

Meldung von Schwachstellen

Bitte senden Sie Ihre Hinweise an die folgende Adresse: psirt@nospamproxy.com.

Ihre Meldung enthält idealerweise diese Informationen: 

  • Betroffenes Produkt/Anwendung
  • Beschreibung der Schwachstelle
  • Falls verfügbar: Proof-ofconceptExploit oder Netzwerk-Mitschnitte

Auch wenn Sie sich nicht ganz sicher sind: Wir gehen Ihrem Hinweis nach und kontaktieren Sie, wenn wir weitere Fragen haben. 

Net at Work Product Security Incident Response Team

Für Fragen oder Hinweise bezüglich der Cybersicherheit unserer Produkte und mobilen Anwendungen kontaktieren Sie bitte: psirt@nospamproxy.com 

PGP Public Key

Den PGP Schlüssel finden Sie hier auf Open Keys.

PGP Fingerprint:
3544 22B0 B4DC E503 5E22 32CA C7B4 635B 14C1 01AA

S/MIME Public Key
Das S/MIME-Zertifikat finden Sie hier auf Open Keys.

Net at Work Vulnerability Disclosure Policy 

Prozess zur Meldung und Veröffentlichung von Sicherheitslücken

1. Einleitung

Als Hersteller für qualitativ hochwertige und langlebige Produkte hat die Sicherheit unserer Kundendaten oberste Priorität und ist ein Unternehmenswert von Net at Work. Daher begrüßen wir jeden Beitrag externer Sicherheitsexperten, um die Sicherheit unserer Produkte zu verbessern. Diese Richtlinie definiert den Rahmen, den Net at Work für die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen zusichert. Diese Richtlinie gilt in ihrer jeweils aktuellen Fassung, wobei Änderungen vorbehalten sind. 

2. Geltungsbereich

Diese Richtlinie gilt für alle vernetzten bzw. vernetzungsfähigen Produkte und Komponenten, die von Net at Work entwickelt, hergestellt oder vermarktet werden sowie für alle öffentlich zugänglichen Net at Work IT-Anwendungen. 

Wir sind an Meldungen zu Schwachstellen interessiert, die ausnutzbar sind, direkt zu einer ausnutzbaren Schwachstelle führen oder es ermöglichen, Benutzerdaten aus der Ferne zu kompromittieren. 

Bitte beachten Sie, dass Meldungen zu Schwachstellen mit minimalen Auswirkungen auf die Sicherheit (z. B. fehlende Header), nicht verifizierte Ergebnisse von automatisierten Scans, Schwachstellen, die sich der Kontrolle von Net at Work entziehen oder Schwachstellen, die gegen die unten genannten Anforderungen verstoßen, nicht berücksichtigt werden. 

3. Berechtigung und verantwortungsvolle Offenlegung

Wenn Ihre Erkenntnisse oder Anmerkungen eines unserer Produkte oder unsere mobilen Anwendungen betreffen, können Sie sich direkt an unser Product Security Incident Response Team (PSIRT) wenden. Verwenden Sie dazu bitte die folgende E-Mail-Adresse:

psirt@nospamproxy.com 

Ihre E-Mail sollte folgende Informationen beinhalten: 

  • Betroffene(s) Produkt/Anwendung
  • Beschreibung der festgestellten Schwachstelle
  • Soweit vorhanden: Proof-ofConcept-Quellcode, Exploit bzw. Log-Dateien 

 Um den Meldeprozess zu beschleunigen, bitten wir Sie: 

 Die Sicherheitsvorfälle mit uns im Detail zu teilen; 

Auf unsere vorhandenen Anwendungen Rücksicht zu nehmen und deren Betrieb nicht zu stören; 

Uns eine angemessene Antwortzeit zu geben, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitten wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren; 

Nicht ohne unsere ausdrückliche Genehmigung des Eigentümers auf unsere Daten oder die Daten unserer Benutzer zuzugreifen oder diese zu ändern. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu; 

Uns umgehend zu kontaktieren, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie sofort alle lokalen Kopien der Daten nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben; 

Gutwillig zu handeln, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denialof-Service) zu vermeiden; und sich an alle geltenden Gesetze zu halten. 

4. Folgen der Einhaltung dieser Richtlinie

Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen unbeabsichtigter, gutgläubiger Verstöße gegen diese Richtlinie in ihrer jeweils aktuellen Fassung einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden als “autorisiertes” Verhalten. Soweit Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieser Richtlinie einsetzen, umgangen haben. 

Wir möchten uns bei Ihnen für Ihre Kooperation bedanken. Ihre Hinweise und Nachrichten unterstützen uns dabei, unsere Systeme sicherer zu machen. Als Anerkennung möchten wir Sie daher in unserer Hall of Thanks begrüßen. Bitte teilen Sie uns mit, ob und unter welchem Namen wir Sie dort auflisten können.