Humboldt-Universität zu Berlin - Informationssicherheit an der HU

Schwachstellenmeldung

Policy zur Meldung von Schwachstellen bzw. Sicherheitslücken

Sicherheitslücken melden

Sicherheitslücken in IT-Systemen sind allgegenwärtig und Prozesse zu ihrer Behebung sollten es ebenfalls sein. Dabei ist der erste Schritt immer die Kenntnis, weshalb wir Meldungen zu Sicherheitslücken in den IT-Systemen der HU-Berlin begrüßen.

Als Hochschule können wir leider keine Prämien für das Finden und Melden von Sicherheitslücken bezahlen. Sie können jedoch mit einem wertschätzenden Umgang rechnen und helfen, mögliche Schäden von Mitgliedern der Gesellschaft abzuwenden bzw. zu verringern.

Speziell für Hochschulen ist die Organisationsstruktur in Zentrale und Dezentrale, die sich auch in den IT-Systemen widerspiegelt. Insofern ist der Hinweis besonders wichtig, dass die Angaben in der security.txt pro Bereich abweichen können: Für eine schnelle und gezielte Meldung hilft es uns sehr, wenn Sie prüfen, ob es eine spezifischere security.txt für das betreffende IT-System gibt (z. B. für eine Sub-Domain).

Tipps zum Melden

  • Schreiben Sie eine E-Mail an die in der security.txt angegebene E-Mail-Adresse. Allgemein ist dies: vulnerability@hu-berlin.de (Verschlüsselung via S/MIME ist mit diesem Zertifikat möglich). E-Mails an diese Adresse werden mit einem elektronischen Ticketsystem bearbeitet. Bitte beachten Sie auch den datenschutzrechtlichen Hinweis.
  • Beschreiben Sie darin möglichst konkret, wo die Schwachstelle gefunden wurde. Geben Sie bitte die zugehörige URL, die IP oder was ansonsten an Koordinaten bekannt ist.
  • Beschreiben Sie möglichst genau, was passiert, wenn man die Schwachstelle auslöst.
  • Beschreiben Sie möglichst Schritt für Schritt, wie sich das Verhalten reproduzieren lässt.
  • Manchmal hilft es zudem, zu erklären, warum das ein Problem ist beziehungsweise, was durch diese Lücken schlimmstenfalls passieren könnte. (Anmerkung: Wir wissen durchaus, was z. B. XSS ist und warum das gefährlich ist. Aber manchmal ist die Situation weniger eindeutig und dann hilft uns Ihre Einschätzung bei der Bewertung eines Sachverhalts.)

Hilfreich wäre es, wenn Sie uns eine Adresse angeben (ggf. mit Verschlüsselungsmöglichkeit), an die wir eventuelle Rückfragen richten können. Anonymen Hinweisen gehen wir ebenfalls nach, allerdings kann die Bearbeitung dadurch eingeschränkt sein.

Wir erwarten von Ihnen, dass Sie im Rahmen Ihrer Untersuchungen bisher und zukünftig

  • die gefundene Schwachstelle nicht missbräuchlich ausnutzen. D. h., keine Schäden über die gemeldete Schwachstelle hinaus anrichten,
  • keine Angriffe (wie z. B. Social-Engineering-, Spam-, (Distributed) DoS- oder „Brute Force”-Angriffe, etc.) gegen unsere IT-Systeme durchführen,
  • keine Manipulation, Kompromittierung oder Veränderung von möglichen Systemen oder Daten Dritter vornehmen,
  • Ergebnisse aus automatisierten Tools oder Scans nicht ohne erklärende Dokumentation bzw. automatisiert einreichen,
  • unspezifische, allgemein bekannte Informationen nicht melden (z. B. „Windows hat aktuell Problem XY und Windows wird doch sicher irgendwo an der Uni eingesetzt.”),
  • als möglicherweise HU-angehörig ebenfalls die dann für Sie geltenden Ordnungen berücksichtigen, wie z. B. die Satzung zur IT-Organisation, AMB 46/2020 und die Benutzungsordnung des CMS (BenO).