Koordinierte Offenlegung von Schwachstellen

Die Gemeente Heerlen misst der Sicherheit ihrer Systeme große Bedeutung bei. Trotz aller Vorsichtsmaßnahmen ist es jedoch möglich, dass eine Schwachstelle in den Systemen gefunden wird. Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, möchten wir gerne von Ihnen hören, damit wir schnell entsprechende Maßnahmen ergreifen können. Indem Sie eine Meldung machen, stimmen Sie als Melder den nachstehenden Vereinbarungen über die koordinierte Offenlegung von Schwachstellen zu und die Gemeinde Heerlen wird Ihre Meldung gemäß den nachstehenden Vereinbarungen behandeln.

Was Sie erwarten können:

  • Wir behandeln eine Meldung vertraulich und geben die personenbezogenen Daten eines Meldenden nicht ohne dessen Zustimmung an Dritte weiter, es sei denn, wir sind gesetzlich oder per Gerichtsbeschluss dazu verpflichtet.
  • Wir teilen den erhaltenen Bericht immer mit dem Informationssicherheitsdienst für Gemeinden (IBD). Auf diese Weise stellen wir sicher, dass die Gemeinden ihre Erfahrungen in diesem Bereich teilen.
  • In gegenseitigem Einvernehmen können wir auf Wunsch Ihren Namen als Entdecker der gemeldeten Schwachstelle nennen. In allen anderen Fällen werden Sie anonym bleiben.
  • Wir senden Ihnen innerhalb von 1 Arbeitstag eine (automatische) Empfangsbestätigung.
  • Wir antworten auf eine Meldung innerhalb von 3 Arbeitstagen mit einer (ersten) Bewertung der Meldung und möglicherweise einem voraussichtlichen Termin für die Lösung.
  • Wir werden das von Ihnen gemeldete Sicherheitsproblem so schnell wie möglich lösen. Dabei bemühen wir uns, Sie über die Fortschritte auf dem Laufenden zu halten, und brauchen nie länger als 30 Tage, um das Problem zu lösen. Allerdings sind wir oft teilweise von Lieferanten abhängig.
  • Es kann einvernehmlich vereinbart werden, ob und wie das Problem nach seiner Lösung veröffentlicht werden soll.

Wir bitten Sie um Folgendes:

  • Senden Sie Ihre Ergebnisse per E-Mail an informatiebeveiliging@heerlen.nl. Wenn möglich, verschlüsseln Sie die Ergebnisse mit cryptshare über die sichere Umgebung von Parkstad-IT, damit die Informationen nicht in falsche Hände geraten.
  • Bitte geben Sie genügend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, bei komplexeren Schwachstellen kann jedoch mehr erforderlich sein.
  • Wir freuen uns über Tipps, die uns helfen, das Problem zu lösen. Bitte beschränken Sie Ihre Ratschläge jedoch auf nachprüfbare Fakten im Zusammenhang mit der von Ihnen festgestellten Schwachstelle und vermeiden Sie, dass Ihre Ratschläge tatsächlich auf die Werbung für bestimmte (Sicherheits-)Produkte hinauslaufen.
  • Hinterlassen Sie Ihre Kontaktdaten, damit wir uns mit Ihnen in Verbindung setzen können, um gemeinsam ein sicheres Ergebnis zu erzielen. Bitte geben Sie mindestens eine E-Mail-Adresse oder Telefonnummer an.
  • Bitte übermitteln Sie den Bericht so schnell wie möglich, nachdem Sie die Schwachstelle entdeckt haben.