• Responsible Disclosure of Vulnerability Guideline

     

    Introduction

    At Grazer Wechselseitige Versicherung AG (GRAWE), the security of our communication and information systems is a top priority.

    Vulnerabilities can never be eliminated, despite best efforts.  When such vulnerabilities are exploited, they might compromise the confidentiality, integrity, availability, or authenticity of GRAWE’s ICT systems.

    This vulnerability disclosure procedure includes any vulnerabilities you intend to report to us (GRAWE). We advise you to carefully read this guideline before reporting a vulnerability and obey our guidelines.

    Hereby, we instruct you not to attempt exploits that could disrupt services or compromise GRAWE user data.

    We appreciate those who invest their time and effort in reporting security vulnerabilities in connection with GRAWE’s IT-systems in accordance with this procedure. Please note that we do not offer monetary rewards for vulnerability disclosures.

     

    Reporting

    If you discover a potential security vulnerability in connection with GRAWE’s IT-systems, we encourage you to report it to us without undue delay.
    Please consider the following information before your transmission:

    • English or German language preferred

    • Your report should contain enough information to reproduce the issue so we can address it as soon as possible. Typically, including the IP address or URL of the affected system along with a description of the vulnerability is sufficient. For more complex vulnerabilities, additional technical details or proof-of-concept code may be needed.

       

    Report a vulnerability

     

    What to expect

    We aim to respond to all vulnerability reports within 5 working days and aim to triage it within 10 working days.

    The priority for addressing vulnerabilities is determined based on their impact, severity, and exploit complexity. Please be aware that it might take some time to triage or resolve your report.

    After the vulnerability is resolved, we are open to requests for disclosing your report. To provide consistent guidance to affected users, please coordinate any public release with us.

    In addition, we will not pursue legal action against individuals who submit vulnerability reports in good faith and follow this guideline.

     

    Guidance

    Please ensure you do NOT:

    • Violate any applicable laws or regulations.
    • Access more data than necessary or handle excessive or significant amounts of data.
    • Alter data within the organization’s systems or services.
    • Use high-intensity, invasive, or destructive scanning tools to identify vulnerabilities.
    • Attempt or report any form of denial of service, such as overwhelming a service with excessive requests.
    • Disrupt the organization’s services or systems.
    • Submit reports on non-exploitable vulnerabilities or issues related to deviations from “best practices,” such as missing security headers.
    • Submit reports that focus on TLS configuration weaknesses, such as support for "weak" cipher suites or TLS 1.0 and 1.1
    • Share information about vulnerabilities or related details through methods other than those specified in the published security.txt.
    • Engage in social engineering, phishing, or physical attacks against the organization's staff or infrastructure.
    • Seek financial compensation as a condition for disclosing any vulnerabilities.

     

    Requirements

    Please ensure you do:

    • Always adhere to data protection regulations and respect the privacy of the organization’s users, staff, contractors, services, and systems. Do not share, redistribute, or fail to securely handle any data obtained from these systems or services.
    • Securely delete all data obtained during your research as soon as it is no longer needed, or within 1 month of the vulnerability being resolved, whichever comes first (or as otherwise required by data protection laws).

     

    Legalities

    This procedure aligns with best practices for vulnerability disclosure. It does not authorize any actions that would be illegal or that could cause the organization or its partners to breach any legal obligations.

    Leitfaden zur verantwortungsvollen Offenlegung von Schwachstellen

     

    Einleitung

    Bei der Grazer Wechselseitige Versicherung AG (GRAWE), hat die Sicherheit der Kommunikation und der Informationssysteme oberste Priorität.

    Trotz größter Bemühungen können Schwachstellen niemals komplett eliminiert werden. Wenn solche Schwachstellen ausgenutzt werden, kann dies die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der IKT-Systeme der GRAWE gefährden.

    Dieses Verfahren zur Offenlegung von Schwachstellen umfasst alle Schwachstellen, die Sie uns (GRAWE) zu melden beabsichtigen. Wir empfehlen Ihnen, diesen Leitfaden sorgfältig zu lesen und unsere Vorgaben zu befolgen, bevor Sie eine Sicherheitslücke melden.

    Hiermit weisen wir Sie an, keine Versuche zu unternehmen, welche die Dienste der GRAWE stören oder ihre Benutzerdaten gefährden.

    Wir sind denjenigen dankbar, die ihre Zeit und Mühe in die Meldung von Sicherheitslücken im Zusammenhang mit den IKT-Systemen der GRAWE gemäß diesem Verfahren investieren. Bitte beachten Sie, dass wir dafür keine Gegenleistungen wie Geldprämien oder dergleichen anbieten.

     

    Meldung

    Wenn Sie eine potenzielle Sicherheitslücke im Zusammenhang mit den IT-Systemen von GRAWE entdecken, bitten wir Sie, uns diese unverzüglich zu melden.
    Bitte beachten Sie vor Ihrer Übermittlung die folgenden Informationen:

    • Deutsche oder englische Sprache bevorzugt

    • Ihr Bericht sollte genügend Informationen enthalten, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reicht die Angabe der IP-Adresse oder URL des betroffenen Systems zusammen mit einer Beschreibung der Sicherheitslücke aus. Bei komplexeren Schwachstellen können zusätzliche technische Details oder der Proof-of-Concept-Code erforderlich sein.

       

    Sicherheitslücke melden

     

    Was Sie erwarten können

    Wir bemühen uns, auf alle Meldungen von Sicherheitslücken innerhalb von 5 Arbeitstagen zu reagieren und sie innerhalb von 10 Arbeitstagen zu bearbeiten.

    Die Priorität für die Behebung von Schwachstellen richtet sich nach ihrer Auswirkung, ihrem Schweregrad und der Komplexität des Angriffs. Bitte beachten Sie, dass die Einstufung und Behebung Ihrer Meldung einige Zeit in Anspruch nehmen kann.

    Nachdem die Schwachstelle behoben wurde, sind wir offen für Anfragen zur Veröffentlichung Ihres Berichts. Um den betroffenen Benutzern eine einheitliche Anleitung zu geben, stimmen Sie bitte jede Veröffentlichung mit uns ab.

    Darüber hinaus werden wir keine rechtlichen Schritte gegen Personen einleiten, die in gutem Glauben Schwachstellen melden und die zuvor genannten Vorgabe befolgen.

     

    Leitfaden

    Bitte stellen Sie sicher, dass Sie NICHT:

    • Gegen geltende Gesetze oder Vorschriften verstoßen.
    • Auf mehr Daten als nötig zugreifen oder übermäßige oder erhebliche Datenmengen verarbeiten.
    • Daten innerhalb der Systeme oder Dienste der Organisation ändern.
    • Hochintensive, invasive oder zerstörerische Scan-Tools, um Schwachstellen zu identifizieren verwenden.
    • Einen Versuch jeglicher Art von Denial of Service (DoS) Attacken starten, z. B. Überlastung eines Dienstes mit übermäßigen Anfragen.
    • Die Dienste oder Systeme der Organisation stören.
    • Berichte über nicht ausnutzbare Schwachstellen oder Probleme im Zusammenhang mit Abweichungen von „Best Practices“, wie z. B. fehlende Sicherheits-Header, einreichen.
    • Berichte, die sich auf Schwachstellen in der TLS-Konfiguration konzentrieren, wie z. B. die Unterstützung von „schwachen“ Cipher Suites oder TLS 1.0 und 1.1 einreichen.
    • Informationen über Schwachstellen oder damit zusammenhängende Details über andere als die in der veröffentlichten security.txt angegebenen Methoden weitergeben.
    • Social Engineering, Phishing oder physische Angriffe gegen die Mitarbeiter oder die Infrastruktur der Organisation durchführen.
    • Eine finanzielle Entschädigung als Bedingung für die Offenlegung von Schwachstellen verlangen.

     

    Anforderungen

    Bitte stellen Sie sicher, dass Sie dies tun:

    Halten Sie stets die Datenschutzbestimmungen ein und respektieren Sie die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste und Systeme der Organisation. Geben Sie Daten, die Sie von diesen Systemen oder Diensten erhalten haben, nicht weiter, verteilen Sie sie nicht weiter und gehen Sie nicht unsicher damit um.

    Löschen Sie alle Daten, die Sie im Rahmen Ihrer Nachforschungen erhalten haben, sicher, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es die Datenschutzgesetze vorschreiben).

     

    Rechtliche Hinweise

    Dieses Verfahren entspricht den Best Practices für die Offenlegung von Sicherheitslücken. Es erlaubt keine Handlungen, die illegal wären oder die Organisation oder ihre Partner dazu veranlassen könnten, gegen rechtliche Verpflichtungen zu verstoßen.