Die gibb Berufsfachschule Bern erkennt die wertvolle Rolle unabhängiger Sicherheitsforscher an, die in gutem Glauben handeln, um die Sicherheit unserer Daten, der Daten unserer Lernenden, Studierenden, Mitarbeitenden und Kunden beizutragen sowie die Zuverlässigkeit unserer Produkte und Dienstleistungen zu gewährleisten. Wir begrüßen daher die verantwortungsvolle Meldung von Schwachstellen, die in digitalen Ressourcen, die uns gehören, von uns betrieben oder gewartet werden, festgestellt werden.

Diese Policy beschreibt die Schritte, wie du Schwachstellen an uns melden kannst. Bitte lies die Policy sorgfältig durch, bevor du eine Sicherheitslücke testet und/oder meldest. Wir setzen auf Zusammenarbeit mit Sicherheitsforschern, um gemeldete potenzielle Schwachstellen zu überprüfen und zu beheben.

Policy

Scope

Alle öffentlich zugänglichen digitalen Systeme, die der gibb (Berufsfachschule Bern) gehören, von ihr betrieben oder gewartet werden.

Out of Scope

Bitte beachte, dass wir für bestimmte Teile unserer Systeme und Infrastruktur Dienste anderer Unternehmen und/oder Organisationen nutzen.

Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sollten der entsprechenden Stelle, dem Anbieter oder der zuständigen Behörde gemeldet werden. Andernfalls werden wir die Schwachstelle an die zuständige Organisation weiterleiten. Der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Massnahmen zur Behebung verantwortlich.

Unsere Verpflichtung

Wenn du mit uns zusammenarbeitest, kannst du von uns Folgendes erwarten:

• Zeitnahe Reaktion, um den Eingang der Schwachstellenmeldung zu bestätigen

• Proaktive Zusammenarbeit, um die Meldung zu verstehen und zu validieren

• Offener Dialog, um allfällige Probleme oder Herausforderungen zu besprechen

• Eine zeitnahe Behebung von entdeckten Schwachstellen

• Einschätzung des Zeitrahmens für die Bearbeitung der Schwachstellenmeldung

• Über den Fortschritt des Bearbeitungsprozess der Schwachstelle auf dem Laufenden halten

• Benachrichtigung, wenn die Schwachstelle behoben wurde

• Würdigung, wenn du als erste Person eine einzigartige Schwachstelle meldest und deine Meldung eine Code- oder Konfigurationsänderung auslöst

• Bereitstellung eines Legal Safe Harbors mittels dieser Policy, um das proaktive Finden von Schwachstellen zu ermöglichen

Unsere Erwartungen

Bei der Teilnahme an unserem Programm zur Offenlegung von Sicherheitslücken, bitten wir dich um Folgendes:

• Halte dich an die Regeln und Anweisungen dieser Policy

• Verstosse im Zusammenhang mit deiner Meldung und deiner Interaktion mit uns nicht gegen geltende Gesetze

• Melde umgehend jede entdeckte Schwachstelle

• Nutze oder missbrauche entdeckte Schwachstellen nicht, ausser zum Zweck der Meldung an uns

• Vermeide die Verletzung der Privatsphäre anderer, die Störung unserer Systeme, die Zerstörung von Daten oder die Beeinträchtigung der Benutzererfahrung

• Nutze ausschliesslich unsere offiziellen Meldekanäle zur Kommunikation über Schwachstellen

• Behandle alle Informationen zu entdeckten Schwachstellen vertraulich gemäss dieser Policy

• Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Greife nur auf das absolut notwendige Minimum zu, um einen Proof of Concept zu erstellen, beende den Test sofort und sende uns umgehend deinen Bericht

• Interagiere nur mit Testkonten, die dir gehören oder für die du eine ausdrückliche Erlaubnis vom Kontoinhaber hast

• Unterlasse jede Form von Erpressung

• Gib uns eine angemessene Frist zur Behebung der gemeldeten Schwachstelle

• Stimme dich mit uns ab, bevor du Schwachstellen öffentlich bekannt machst

gibb erlaubt keine der folgenden Arten von Sicherheitstests

Auch wenn wir dich ermutigen, gefundene Schwachstellen an uns zu melden, ist folgendes Verhalten ausdrücklich untersagt:

• Handlungen, die unsere Systeme oder unsere Kunden negativ beeinträchtigen können (z. B. Phishing, Spam, Brute-Force-Angriffe, Denial-of-Service-Attacken usw.)

• Zerstörung oder Beschädigung von Daten oder Informationen, die dir nicht gehören, oder der Versuch, diese zu zerstören oder zu beschädigen

• Durchführung jeglicher Art von physischen oder elektronischen Angriffen auf unser Personal, unser Eigentum, unsere Gebäude oder unsere Infrastruktur

• Social Engineering gegenüber unseren Mitarbeitenden, Kunden oder Auftragnehmern

Koordinierte Offenlegung von Schwachstellen

Wir schätzen die Bemühungen externer Sicherheitsforscher, die Sicherheitsschwachstellen identifizieren und diese Schwachstellen verantwortungsvoll offenlegen, damit sie behoben werden können. Unsere Politik ist es, die Veröffentlichung zu erlauben, sofern die folgenden Bedingungen erfüllt sind (Coordinated Vulnerability Disclosure):

• Die meldende Person darf die Schwachstelle nicht veröffentlichen, bevor wir bestätigt haben, dass diese Behoben ist und eine Offenlegung von unserer Seite akzeptiert wurde.

• Eine Veröffentlichung wird nach 90 Tagen akzeptiert, sofern eine Koordination mit uns stattgefunden hat.

• Es darf keine Veröffentlichung genauer Details des Problems erfolgen, z. B. Exploits oder Proof-of-Concept-Code.

Offizielle Kanäle

Bitte melde Sicherheitsprobleme über diese Plattform und gib dabei alle relevanten Informationen an. Sende keine Berichte von automatisierten Tools, ohne diese vorher überprüft zu haben. Je mehr der folgenden Angaben du machst, desto einfacher ist es für uns, das Problem einzuordnen und zu beheben:

• Technische Beschreibung der Sicherheitslücke, einschliesslich:

  • Informationen zum verwendeten Browser (Typ und Version)

  • Relevante Informationen zu den angeschlossenen Komponenten und Geräten

  • Betroffene Plattform(en) URL(s)

• Beispielcode zur Veranschaulichung der Schwachstelle und/oder detaillierte Schritte zur Reproduktion

• Bedrohungs-/Risikoeinschätzung

• Datum und Uhrzeit der Entdeckung

• Kontaktinformationen

• Mögliche Pläne zur Offenlegung

Bitte beachte, dass diese Kanäle nur für die Meldung von nicht gemeldeten Sicherheitsschwachstellen gedacht sind und nicht für andere Support- oder Informationsanfragen verwendet werden dürfen. Anfragen, die an diese Kanäle gerichtet werden und sich nicht auf nicht gemeldete Sicherheitslücken beziehen, werden nicht beantwortet.

Legal Safe Harbor

• Wir werden keine zivilrechtlichen Schritte einleiten oder bei den Strafverfolgungsbehörden Anzeige gegen Teilnehmenden erstatten, die versehentlich und in gutem Glauben gegen diese Policy verstossen.

• Wir interpretieren Aktivitäten von Teilnehmenden, die dieser Policy entsprechen, als autorisierten Zugriff gemäss dem Schweizerischen Strafgesetzbuch. Dies beinhaltet die Paragraphen 143, 143bis und 144bis des Schweizerischen Strafgesetzbuches.

• Wir erstatten keine Anzeige gegen Teilnehmenden, die versuchen, die Sicherheitsmassnahmen zu umgehen, die zum Schutz der unter dieser Policy fallenden Dienste eingesetzt werden.

• Sollte ein Dritter rechtliche Schritte gegen eine Person einleiten, die sich an diese Policy gehalten hat, werden wir die erforderlichen Massnahmen ergreifen, um den Behörden gegenüber klarzustellen, dass die betreffenden Handlungen im Einklang mit dieser Policy erfolgt sind.

• Bei geringfügigen Verstössen kann eine Verwarnung ausgesprochen werden. Bei schwerwiegenden Verstössen behalten wir uns das Recht vor, strafrechtliche Schritte einzuleiten.

Es wird von dir erwartet, dass du wie immer alle geltenden Gesetze einhaltest. Wenn du zu irgendeinem Zeitpunkt Bedenken hast oder dich nicht sicher bist, ob deine Sicherheitsforschung mit dieser Policy übereinstimmt, reiche bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor du deine Forschung fortsetzt.

Beachte, dass die Safe-Harbor-Richtlinie nur für Rechtsansprüche gilt, die unter der Kontrolle der an dieser Policy beteiligten Organisation stehen und dass die Policy nicht für unabhängige Dritte bindend ist.