Richtlinie zur Meldung von Schwachstellen
(Vulnerability Disclosure Policy)
Sollten Sie eine Schwachstelle in IT-Systemen und Webanwendungen der Stadt Oberhausen entdecken, bitten wir darum, uns zu informieren. Die Stadt Oberhausen ergreift die notwendigen Maßnahmen um schnellstmöglich eine Bewertung und Behebung der Schwachstelle sicherzustellen.
Gehen Sie wie folgt vor:
Senden Sie Informationen zu der Schwachstelle bitte an security@oberhausen.de
Die Meldung kann anonym, unter Pseudonym oder unter Angabe Ihrer Kontaktdaten erfolgen. Eine verschlüsselte Kommunikation kann nach vorheriger Absprache genutzt werden.
Ihre Meldung sollte mindestens die folgenden Informationen enthalten:
- Benennung der betroffenen Systeme (URL, IP, …)
- Möglichst präzise Beschreibung der Schwachstelle und der möglichen Auswirkungen
- Wie die Schwachstelle reproduziert und verifiziert werden kann
Ihre Meldung kann darüber hinaus gerne folgendes enthalten:
- Hinweise und Informationen zur Behebung der Schwachstelle
- Kontaktdaten für etwaige Rückfragen
Wir gehen davon aus, dass
- die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde
- die Information über die Schwachstelle vertraulich behandelt und nicht Dritten zugänglich gemacht wird
- Eine Veröffentlichung der Schwachstelle nur nach vorheriger Abstimmung mit der Stadt Oberhausen, insbesondere nach vollständiger Behebung der Schwachstelle, erfolgt
- keine Social-Engineering, (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf die Stadt Oberhausen durchgeführt werden
Sofern das Handeln von Sicherheitsforschenden den vorgenannten Vorgaben entspricht, erfolgt keine Einbindung von Strafverfolgungsbehörden. Dies gilt nicht, wenn erkennbar kriminelle Absichten verfolgt werden.
Die Stadt Oberhausen betreibt kein Bug Bounty Programm. Prämien für das Finden und Melden von Schwachstellen werden nicht gezahlt.
Die Stadt Oberhausen bietet Sicherheitsforschenden, die signifikante Schwachstellen gefunden und gemeldet haben, die Aufnahme in eine „Hall of Fame“ an.
Auf Vorschlag des Bereichs IT kann der Rat der Stadt Oberhausen eine darüber hinaus gehende Anerkennung aussprechen.