RFC 2350 Informationen über das Produktsicherheitsteam

1 Informationen zu diesem Dokument
1.1 Datum der letzten Aktualisierung

11. September 2024

1.2 Verteilerliste für Benachrichtigungen

1.2.1 Sicherheitsempfehlungen
Hinweise werden in der CONTACT Community unter der folgenden Adresse veröffentlicht: https://community.contact-software.com/c/news-and-announcements/security/
Sie können sich in der Forensoftware für E-Mail-Benachrichtigungen registrieren, um über neue Hinweise informiert zu werden.

1.3 Aktuelle Version dieses Dokuments

Dieses Dokument kann über HTTPS von der CONTACT Software GmbH Webseite geladen werden: https://www.contact-software.com/de/sicherheit/

2 Kontaktinformationen
2.1 Name des Teams

CONTACT Software Security Team

2.2 Adresse

Post kann geschickt werden an:

CONTACT Software GmbH
Security Team
Wiener Straße 1-3
28359 Bremen
Deutschland

2.3 Zeitzone

Das Team arbeitet in der Zeitzone von Deutschland: Europe/Berlin Central European Time/Mitteleuropäische Zeit (CET/MEZ)
Das Team ist zu üblichen Bürozeiten von Montag bis Freitag erreichbar.

2.4 Telefon

Die zentrale Vermittlung (9 bis 17 Uhr montags bis freitags, außer feiertags) kann unter folgender Nummer erreicht werden: +49 421 20153-0
Bitte fragen Sie danach zum Sicherheitsteam durchgestellt zu werden.

2.5 Fax

Es wird kein Fax angeboten, bitte verwenden Sie (verschlüsselte) E-Mails.

2.6 Andere Telekommunikation

Keine für das Sicherheitsteam.

2.7 E-Mailadresse

security@contact-software.com

2.8 Öffentliche Schlüssel und Verschlüsselunginformationen

Der aktuell gültige PGP Public Key kann mit der in 2.7 genannten E-Mail Adresse vom Keyserver https://keys.openpgp.org/ heruntergeladen oder hier eingesehen werden:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: 0C6E 1B7E 82ED 84AC 615C  F7A5 4DE7 CEDD DF4A C1D8
Comment: Product Security Team, CONTACT Software GmbH (see RFC23
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=LKrI
-----END PGP PUBLIC KEY BLOCK-----
2.9 Team-Mitglieder

Es werden keine allgemeinen Informationen über die Team-Mitglieder veröffentlicht.

2.10 Kontaktadresse für Kunden

Die bevorzugte Kommunikationsmethode mit dem Sicherheitsteam ist es, eine E-Mail an <security@contact-software.com> zu schicken.
Wenn es nicht möglich oder aus speziellen Gründen nicht ratsam ist, per E-Mail zu kommunizieren, können Sie das Sicherheitsteam in den üblichen Bürozeiten (9 bis 17 Uhr montags bis freitags, außer feiertags) auch telefonisch erreichen.

3 Statuten
3.1 Auftrag

Der Zweck des Sicherheitsteams ist es, als Hauptaufgabe, die Sicherheit der von der CONTACT Software GmbH erstellten Produkte zu verbessern. Sekundäraufgabe daneben ist es, Kunden und Partner bei der Reaktion auf Sicherheitsvorfälle oder bei Sicherheitsproblemen im Zusammenhang mit Produkten der CONTACT Software GmbH zu unterstützen.

3.2 Zielgruppe und Kundenkreis

Das Sicherheitsteam bietet seine Dienste für die folgenden Gruppen an. Der Umfang der Dienstleistungen unterscheidet sich je nach Gruppe und kann Vereinbarungen in Wartungsverträgen unterliegen.

  • Mitarbeiter (insbesondere aus Entwicklung und Support) von CONTACT Software
  • Kunden die CONTACT Software Produkte nutzen
  • Partner von CONTACT Software

Anfragen die sich um allgemeinen Betrieb, die Webseite oder anderweitige nicht produktbezogene Sicherheitsthemen im Bezug auf die CONTACT Software GmbH beziehen werden von Fall zu Fall vom Sicherheitsteam bewertet und bearbeitet. In der Regel werden diese an die jeweils zuständigen Person weitergeleitet und nicht vom Sicherheitsteam selbst bearbeitet.

3.3 Organisatiorische Zugehörigkeit

Das Sicherheitsteam ist Teil der Software-Entwicklungsabteilung (SD) der CONTACT Software GmbH.

3.4 Autorität und Befugnisse

Das Sicherheitsteam hat Autorität über die Software-Entwicklungsprozesse und den Software-Release-Prozess bei der CONTACT Software GmbH.
Das Sicherheitsteam hat ausdrücklich KEINE Befugnisse bezüglich installierten Systemen bei Kunden und kann dort nur beratend tätig sein. Das Team hat auch keine Befugnisse bezüglich Produkten die von Partnern auf Basis von Produkten von CONTACT Software erstellt und vertrieben werden. Auch für den Betrieb der Webseite und den sonstigen operationalen Geschäften der CONTACT Software GmbH hat das Sicherheitsteam keine weiteren Befugnisse und ist nur beratend tätig.

4 Regeln
4.1 Aufgaben und Unterstützung

Der Fokus des Sicherheitsteams auf Produkte zeigt sich in der Art der übernommenen Aufgaben und den angebotenen Unterstützungsleistungen.  Der Fokus liegt eindeutig nicht auf der direkten Unterstützung im laufenden Betrieb von Systemen.
Das Sicherheitsteam bietet Unterstützung für die folgenden Themen und Arten von Vorfällen. Der Umfang der Unterstützung variiert je nach Thema und beteiligten Gruppen und kann von Wartungsverträgen abhängen.

  • Bearbeitung von Meldungen für Sicherheitsproblemen in CONTACT Software GmbH Produkten
  • Koordinierung des Veröffentlichungs-Prozesses für Sicherheitsprobleme und Patches
  • Beratung für Teams innerhalb der CONTACT Software GmbH
  • Bereitstellung von Werkzeugen und Dokumentation zu Sicherheitsthemen
  • Beratung, Hinweise und Unterstützung für CSIRT-Teams von Kunden bei der Bearbeitung von Sicherheitsvorfällen mit Bezug zu Produkten der CONTACT Software GmbH
  • Begrenzte Beratungsleistungen für Kunden bezüglich Themen wie sicherer Installation  und sicherem Betrieb von CONTACT Software GmbH Produkten
  • Beratungsleistungen für Partner bei Sicherheitsthemen mit Bezug zu Produkten der CONTACT Software GmbH
4.2  Kooperation, Zusammenarbeit und Weitergabe von Informationen

Das CONTACT Software GmbH Sicherheitsteam kooperiert und teilt Informationen nach Bedarf mit anderen CERT/CSIRTs. Informationen werden dabei nur gemäß ihrer Klassifikation und nach einer strikten Notwendigkeit (need-to-know) weitergeleitet, es sei denn, das gesetzliche Vorschriften anderes verlangen. Das CONTACT Software GmbH Sicherheitsteam unterstützt eine verantwortungsvolle Veröffentlichungspolitik (siehe z.B. OWASP Vulnerability Disclosure Cheat Sheet) mit einem üblichen Zeitrahmen von 30 Tagen für Sicherheitspatches, welcher bei Bedarf bis auf 90 Tage ausgedehnt wird.

4.3 Kommunikation und Authentifizierung

Wenn Sie per E-Mail via security@contact-software.com mit dem Team kommunizieren, so wird das Team die Nachrichten mit dem in Abschnitt 2.8 veröffentlichten PGP Schlüssel signieren. Der aktuelle Schlüssel kann von dem Keyserver keys.openpgp.org bezogen werden. Alle vertrauliche Kommunikation mit dem CONTACT Software Sicherheitsteam sollte mit dem öffentlichen PGP Schlüssel verschlüsselt werden. Absender sollten die Nachrichten nach Möglichkeit mit ihrem eigenen Schlüssel signieren.

5 Dienste
5.1 Behandlung von Sicherheitsvorfällen

Alle Vorfälle mit Bezug zu Produkten der CONTACT Software GmbH werden begutachtet. Vorfälle die nur Bezüge zu anderen Diensten oder Themen von CONTACT Software haben, werden an die zuständigen Geschäftsbereiche übermittelt. Melder sollten ihre typischen Kontakte verwenden, um solche Vorfälle zu melden. Das Sicherheitsteam ist nur eine Fallback Option für solche Themen. Wenn es notwendig ist, wird das Team eine tiefergehende Analyse durch entsprechende technische Experten durchführen lassen.

5.1.1 Bewertung von Sicherheitsvorfällen

  • Eingehende Meldungen zu Vorfällen werden bewertet, priorisiert und mit anderen Vorfällen verglichen.
  • Meldungen zu Vorfällen werden:
    – auf Vollständigkeit und Verständlichkeit geprüft
    –  bzgl. deren Auswirkungen und Reichweite klassifiziert und eingestuft

5.1.2 Koordination bei Sicherheitsvorfällen

  • Informationen zu Vorfällen (z.B. Log-Dateien), werden klassifiziert und gemäß der  Veröffentlichungsrichtlinie bewertet.
  • Alle beteiligten internen und externen Parteien werden benachrichtigt und auf Basis von Notwendigkeiten mit Informationen versorgt, gemäß der Veröffentlichungsrichtlinie,  falls nicht ein Gesetz etwas anderes regelt.

5.1.3 Bereinigung und Nachbereitung von Sicherheitsvorfällen

  • Die Ursache von Vorfällen wird gesucht und die Effekte werden für die Zukunft abgewehrt.
  • Wenn es notwendig ist, werden auch Analysen von unterwanderten, kompromittierten Systemen unterstützt.
5.2 Proaktive Aktivitäten
  • Sicherheitstraining für CONTACT Mitarbeiter
  • Sicherheitsreviews im Rahmen des sicheren Produktentwicklungsprozesses (SDL)
  • Dokumentation für eine sichere Installation/Konfiguration und empfohlene Vorgehensweisen
  • Entwicklung von Werkzeugen zur sicheren Konfiguration des Systems
  • Einlasten von neuen Sicherheitsanforderungen in die Produkt-Roadmap
  • Veröffentlichung von Sicherheitshinweisen
  • In-House Penetration Tests & Untersuchung von Ergebnissen aus von Kunden durchgeführten Penetration Tests
  • Continuous Integration / Continuous Deployment mit statischer Code-Analyse
  • Post-Mortem Analyse, um aus älteren Vorfällen zu lernen
6 Vorfälle melden

Es ist keine besondere Form notwendig. Bitte nutzen Sie die in Abschnitt 2.7 angegebene E-Mail Adresse.
Eine Meldung sollte nach Möglichkeit mindestens die folgenden Informationen enthalten:

  • Kontaktdaten
  • Name des Meldenden
  • Name und Adresse der zugehörigen Organisation
  • E-Mail Addresse, Telefon, PGP Schlüssel Informationen wenn verfügbar
  • Kurze Übersicht über das Problem
  • Betroffene Systeme:
    – Beteiligte Produktnamen und Versionen
    – Zusätzliche Informationen
    – Beobachtungen und Details, die zur Entdeckung des Problems geführt haben (Logdateien, Screenshots, etc.)

Falls Sie einen PGP-Schlüssel haben, so signieren Sie bitte Ihre Nachrichten, um einen authentifizierten Kommunikationskanal zu eröffnen.

7 Hinweise

Die Inhalte dieses Dokuments entsprechen dem Kenntnisstand zum Zeitpunkt der Erstellung. Eine Haftung für eventuelle Schäden, die durch die direkte oder indirekte Nutzung der Inhalte entstanden sind, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.