Schwachstellen offenlegen

Für uns bei Garantibank N.V. (“GBI”) sind sicheres Internet-Banking und die fortdauernde Verfügbarkeit unserer Online-Dienste eine unserer Top-Prioritäten, und zum Schutz und bei der Wartung unserer IT-Systeme befol-gen wir die internationale beste Praxis im Bereich der Sicherheit. Trotz unserer Bemühungen zur Optimierung unserer Systeme und Prozesse sind Schwachstellen oder Sicherheitslücken immer noch möglich. Wenn Sie eine Sicherheitslücke in unseren IT-Systemen oder auf unseren Websites feststellen, wären wir Ihnen sehr verbunden, wenn Sie uns das melden würden, sodass wir die Sicherheit und Zuverlässigkeit unseres IT-Systems noch weiter verbessern können.

Was können Sie melden?


Wenn Sie eine Sicherheitslücke in unserem System entdeckt haben, melden Sie diese bitte so schnell wie mög-lich. Beispiele für Sicherheitslücken sind:

  • Cross Site Scripting (XSS)
  • SQL Injection
  • Verschlüsselungs schwachstellen
  • Remote Code Execution
  • Cross Site Request Forgery (CSRF)
  • Schwachstellen durch Umgehung der Authentifizierung und unerlaubten Datenzugriff

Wie können Sie es melden?


Eine Sicherheitslücke können Sie per E-Mail an die Adresse responsibledisclosure@garantibank.eu melden. Bitte versichern Sie sich, dass Ihre E-Mail mit diesem PGP-Schlüssel verschlüsselt ist, damit unbefugte Nutzer nicht auf diese Informationen zugreifen können. Bitte schreiben Sie ihren Bericht in klarer und knapper Spra-che und erwähnen Sie dabei:

  • Welche Schritte Sie unternommen haben;
  • Die ganze URL
  • Die möglicherweise beteiligten Objekte (wie etwa Filter oder Eingabefelder)
  • Beweise, Wirksamkeitsnachweise, Reproduzierbarkeit (nach Möglichkeit Videos oder Screenshots)
  • Eine Beschreibung der entdeckten Schwachstelle oder Sicherheitslücke
Unsere Spezialisten werden Ihren Bericht prüfen und sofort Maßnahmen ergreifen. Möglicherweise werden sie sich an Sie wenden, um mit Ihnen über die Ergebnisse Ihrer Nachforschungen zu sprechen.

Wozu ist die Adresse reponsibledisclosure@garantibank.eu nicht da?


Die folgenden Punkte sollen in Berichten im Sinne dieser Regeln zur verantwortlichen Offenlegung nicht ge-meldet werden:

  • Reklamationen über Produkte, Dienstleistungen, Websites oder die Internet Banking-Dienste von Ga-rantiBank International N.V.
  • Geldliche Angelegenheiten
  • Betrug oder Betrugsverdacht
  • Malware
  • Fake- oder Phishing-E-Mails

Regeln zur verantwortlichen Offenlegung


Bitte beachten Sie diese Regeln, bevor Sie eine Schwachstelle oder Sicherheitslücke melden. Bitte beachten Sie, dass Ihr eigenes Nachforschen in unseren IT-Systemen als kriminelle Aktivität gewertet werden könnte und Sie sich strafrechtlich verantwortlich machen könnten. Wenn Sie eine Sicherheitslücke in unserem IT-System entdeckt haben, denken Sie daran, dass die örtlichen Gesetze den von GBI aufgestellten Regeln zur verantwort-lichen Offenlegung vorgehen. Dessen ungeachtet werden wir Sie nicht den Behörden melden, wenn Sie gut-gläubig handeln und die Regeln von GBI einhalten, es sei denn, wir wären gesetzlich dazu verpflichtet. Sie sollten jedoch wissen, dass letztendlich die Staatsanwaltschaft entscheidet, ob Sie strafrechtlich verfolgt werden oder nicht, und zwar unabhängig davon, ob wir Ihr Vergehen den Behörden melden. Dementsprechend kann GBU Ihnen nicht versprechen, dass Sie nicht strafrechtlich verfolgt werden, wenn Sie während Ihrer Nachfor-schungen zu einer Sicherheitslücke rechtswidrige Handlungen begehen.

Das National Cyber Security Centre (www.ncsc.nl) des Justizministeriums hat Richtlinien für die Meldung von Schwachstellen und Sicherheitslücken in IT-Systemen aufgestellt, auf denen unsere Regeln beruhen.

Regeln


Gehen Sie verantwortlich und mit äußerster Sorgfalt vor. Wenden Sie nur Methoden oder Techniken an, die bei vernünftiger Betrachtungsweise erforderlich sind, um eine Sicherheitslücke festzustellen und zu belegen. Befolgen Sie dazu die nachstehend angegebenen Regeln:

  • Achten Sie darauf, bei Ihren Nachforschungen keine Schäden an unseren Systemen zu verursachen
  • Laden Sie keine Backdoors in das System hoch oder installieren Sie solche, auch nicht, um die Schwachstellen eines Systems zu demonstrieren. Durch das Einbringen von Backdoors verursachen Sie nur noch mehr Schäden an unserem System.
  • Verändern oder löschen Sie keine Daten im System. Wenn Sie Informationen kopieren müssen, kopie-ren Sie nicht mehr Daten, als unbedingt erforderlich, und wenn eine Kopie ausreicht, fertigen Sie nicht noch weitere an.
  • Nehmen Sie nicht irgendwelche Änderungen am System vor.
  • Unterrichten Sie keine anderen Personen darüber, dass Sie sich Zugang verschafft haben.
  • Wenden Sie keine gewaltsamen Methoden wie die wiederholte Eingabe von Benutzernamen oder Passwörtern an.
  • Wenden Sie keine Techniken an, die die Verfügbarkeit der Systeme beeinträchtigen.
  • Wenden Sie keine Social Engineering-Techniken an, um sich Zugang zu unserem System zu verschaf-fen.
  • Geben Sie niemals irgendwelche Bank- oder Kundendaten preis, die Sie während Ihrer Ermittlungen gefunden haben.
  • Geben Sie niemals irgendwelche Schwachstellen preis, die Sie in unseren IT-Systemen oder Online-diensten entdeckt haben. Konsultieren Sie unsere Spezialisten und geben Sie uns Zeit, um das Problem zu lösen.
  • Lassen Sie niemals zu, dass unsere Onlinedienste oder anderen Dienste durch Ihre Ermittlungen ge-stört werden.

Der Schutz Ihrer Daten


Wir werden Ihre personenbezogenen Daten nur nutzen, um Maßnahmen aufgrund Ihrer Meldung zu ergreifen. Wir werden Ihre personenbezogenen Daten nicht ohne Ihre Erlaubnis gegenüber anderen offenlegen, es sei denn, wir sind gesetzlich dazu verpflichtet.