Responsible Disclosure
Informationen für Hinweisgeber von Sicherheitslücken
Sicherheit, Zuverlässigkeit und Transparenz sind für LOTTO Bremen wichtige Grundsätze. Obwohl wir große Anstrengungen unternehmen, um die Sicherheit unserer Informations- und Kommunikationssysteme zu gewährleisten, stetig zu verbessern und weiterzuentwickeln, kann es vorkommen, dass Schwachstellen darin verbleiben oder durch neue Angriffsmechanismen entstehen.
Um zu verhindern, dass Angreifer entdeckte Sicherheitslücken ausnutzen, empfiehlt das Bundesamt für Informationssicherheit (BSI) die Übernahme des Grundsatzes des "Responsible Disclosure". Das bezeichnet die verantwortungsvolle Offenlegung entdeckter Sicherheitslücken. Die Anwendung dieses Prinzips umfasst die Koordination und vertrauensvolle Zusammenarbeit zwischen dem Entdecker der Sicherheitsverletzung und dem jeweiligen Hersteller oder Dienstleister.
Eine natürliche oder juristische Person, welche eine Sicherheitslücke entdeckt, sollte im Sinne einer verantwortungsvollen Offenlegung wie folgt vorgehen:
- Melden Sie eine Sicherheitslücke an die Bremer Toto und Lotto GmbH, indem Sie uns eine entsprechende E-Mail senden. Geben Sie so viele Informationen über die Sicherheitslücke wie möglich an. Die Meldung kann anonym erfolgen. Nach Meldung der Sicherheitslücke löschen Sie sämtliche personenbezogenen oder vertraulichen Daten, die im Rahmen der Entdeckung in Ihren Besitz gelangt sind.
- Nutzen Sie eine gefundene Sicherheitslücke nicht aus, um mehr Daten zu erlangen als zum Nachweis der Sicherheitslücke notwendig ist oder um Daten Dritter zu erlangen, auszuspähen, zu verändern, zu löschen oder weiterzugeben oder um die Verfügbarkeit des Dienstes absichtlich zu beeinträchtigen.
- Alle Aktivitäten, die zur Entdeckung der Sicherheitslücke geführt haben, müssen sich im Rahmen der Gesetze und des normalen Nutzungsverhaltens auf den Websites der Bremer Toto und Lotto GmbH bewegen. Ausdrücklich von der Bremer Toto und Lotto GmbH untersagt, ist die Nutzung jeglicher Testmethoden und Testtools zur Überprüfung von Websites/Apps auf Sicherheitslücken.
- Informieren Sie Dritte nicht über die Sicherheitslücke. Die gesamte Kommunikation bezüglich der Sicherheitslücke wird von der Bremer Toto und Lotto GmbH koordiniert.
- Im Falle einer nicht-anonymen Meldung informiert die Bremer Toto und Lotto GmbH den Melder über das weitere Vorgehen und Fortschritte bei der Schließung der Sicherheitslücke.
- Geben Sie uns ausreichend Zeit, auf Ihren Hinweis zu reagieren und die Sicherheitslücke zu beheben.
Melden Sie über folgende E-Mail-Adresse eine erkannte Sicherheitslücke:
responsible-disclosure@lotto-bremen.de
Wir werden die anonym Meldenden nicht identifizieren und keine rechtlichen Schritte gegen diejenigen einleiten, die ihr Wissen über die Sicherheitslücke mit zulässigen Methoden erworben, nicht missbraucht und nicht an Dritte weitergegeben haben.
Ihre Meldung wird vertraulich behandelt und Ihre personenbezogenen Informationen nicht ohne Ihre Zustimmung mit Dritten geteilt, sofern dies nicht zur Erfüllung gesetzlicher Pflichten oder aufgrund eines Gerichtsurteils vorgeschrieben ist.