RFC 2350 Informationen über das Produktsicherheitsteam


1 Informationen zu diesem Dokument
1.1 Datum der letzten Aktualisierung

19. März 2020

1.2 Verteilerliste für Benachrichtigungen

1.2.1 Sicherheitsempfehlungen
Sicherheitsempfehlungen werden als Teil des ProductNews-Newsletters (productnews@contact-software.com) veröffentlicht.
Sie können sich unter dieser Adresse für den Newsletter registrieren: https://www.contact-software.com/de/anmeldung-product-newsletter/
Veröffentlichte Sicherheitsempfehlungen finden Sie unter: https://kundenportal.contact-software.com/handout/produktsupport/security-advisory

1.3 Aktuelle Version dieses Dokuments

Dieses Dokument kann über HTTPS von der CONTACT Software GmbH Webseite geladen werden: https://www.contact-software.com/de/sicherheit/


2 Kontaktinformationen
2.1 Name des Teams

CONTACT Software Security Team

2.2 Adresse

Post kann geschickt werden an:

CONTACT Software GmbH
Security Team
Wiener Straße 1-3
28359 Bremen
Deutschland

2.3 Zeitzone

Das Team arbeitet in der Zeitzone von Deutschland: Europe/Berlin Central European Time/Mitteleuropäische Zeit (CET/MEZ)
Das Team ist zu üblichen Bürozeiten von Montag bis Freitag erreichbar.

2.4 Telefon

Die zentrale Vermittlung (9 bis 17 Uhr montags bis freitags, außer feiertags) kann unter folgender Nummer erreicht werden: +49 421 20153-0
Bitte fragen Sie danach zum Sicherheitsteam durchgestellt zu werden.

2.5 Fax

Es wird kein Fax angeboten, bitte verwenden Sie (verschlüsselte) E-Mails.

2.6 Andere Telekommunikation

Keine für das Sicherheitsteam.

2.7 E-Mailadresse

security@contact-software.com

2.8 Öffentliche Schlüssel und Verschlüsselunginformationen

Der aktuell gültige PGP Public Key kann mit der in 2.7 genannten E-Mail Adresse vom Keyserver https://keys.openpgp.org/ heruntergeladen oder hier eingesehen werden:

-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBF5qRDUBEADBuzwiJYmiGtWx40kCoGqz300q77P6Wq3pxOGfQpiWu86EYYy1
N1iSYcoi05oyTFdgX3D0cnY4IwG65Uh6sjeDokyXCxO/7uLA9dIjL4iSZl4ciVOj
aEYShH/9xGBIbf87SLrzH6Ynj4LElHOujGwYNu7qCRnn1Rl/0+Xf5fL8dZWYMXX4
ibjVP+c38DqnNiif9h6QFap/Yg5WqDZI9SG5EwK9WqHWHYChCLgg3RZc6PXzfxEl
idqGS8HQRwUVcEnt7MZ+R/zy8uBsfn+CvN2OftmrXN14AiAiFBvGG9KXoikgdpxI
HB/4UE5o/WWpOmWEb4uZb2foPfPxfCVA8YsuEgx3JuBlX3RHJix/fTWfqCS2Cn+E
qGZjjUK30NCLXCLhDYW56PJCX0ZMDuBupBYsicDcQq6P57Wv7wvb0cqip9kgjeOU
VZaF1+uL8D37rP9X/3in6q7vjKL0A4n5jkdJo7+egfoRZ2lGPH3xvK7FRrJhVFuf
/NCevLlxo+VtBksFKnvgkemLobKgakK8RpqA50sJwc1YdSlQjGu1+xuTN7AiYC6I
NIUS7Tl2K5jlFmPB9ae3SIP7TLsJ6QqgbF1VUorIeNRbueVBTJIjpFCYvwcjukQ0
YiWfIxi5uLYgAFQHKF9O2sAFG5WanfeEwGAZCtqTzCF8B8uOl02RtCvZ2wARAQAB
tG9Qcm9kdWN0IFNlY3VyaXR5IFRlYW0sIENPTlRBQ1QgU29mdHdhcmUgR21iSCAo
c2VlIFJGQzIzNTAgRG9jdW1lbnQgb2YgdGhlIHRlYW0pIDxzZWN1cml0eUBjb250
YWN0LXNvZnR3YXJlLmNvbT6JAlQEEwEKAD4WIQQMbht+gu2ErGFc96VN587d30rB
2AUCXmpENQIbAwUJA8JnAAULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRBN587d
30rB2NDKEACUAq13Bb0oJ78V36Ub4lb0PkkYtIWmLWoIdTl9kQgGkzYb+Rr5XLxe
IlDabP3ChVOCWEDUvEkc4sEuTmJIOUfbGj248AEstT8MdxNFBCO/zB+ibbyo3eVF
vXFaucodKTtIyjt0pk12G+XCu3RsWG2Zn2TNxorxLb6EdrTCJUaSPGHTjZjQ36Ap
/vwl+FWpTRXKdq5W44CmwImkWAo42HShWVAw9NiCYTdG3+8vTd6r/tE/hbizO+vj
aTM4ds1a+Zw/4ZxXhRKFejSMqkk4ccyFPDzRkeHsx7rdmuBkIubIQJ7YZ4RLuiyl
Q4TyLbY+EFCC0ecS5up/sBscAgjrkBQ57wY3CpjTyfu0Jx/lyLn7bknMMloscSZX
FkidtkGPDChtrcMn/V8cdeNmnZ/bwwXoKA2N415wniyB92ChyMpldQ4TwRCDYCXw
a38A8PPqETHDT4Jw5fM3V6LLObcCIXZDGCR8hQ1FYG32hLIYxHXI8Y/mclFDr7Ae
i1YnVa/0yWVELHviQKAAFlOMVR3QeLhg1l/Qg8DBFai/Z8Q4wQZPBYE3w+woDNlD
v4KFodHmi8oYmVo7F53dhEqqz/Z/7anmwI/7UIrngUtkrCFUJJ3T8x95HgrAF4zN
4jVublupukTVUK428FGD3UKFZrvlosPinVr6A+lxSFLAbIZo7jF8QLkCDQReakQ1
ARAAuTufWtkkDsHVpq6IQbjRu88V7lVzYQ3SZT+jI8JINhyOHY2tfiWAjt+aq1G/
xn+3gmg1fw9DtQRRwvf14C40/yku/8ZUu2ED4/vbE1oMVmgXte5qEQjTgZOk9ZIW
HrT+Qo9SsvdFy3SrxqDU3/WdaZIzwg3VuuglHwtixH4mgva6G+J1OOzrLRmrrJVb
aR9VPsXw/HHRdw10DLhWsZJ6ORiTbBIFT0FwTqMTO4w1/mmJt1bxpr4hJfhSdbRY
8ZoM1GCot6oTvGsO7COnfwfH0F9a1f52HIsgzg34dVkre5yZmUjajTvvhIRSTg+l
I3U+fF3afVgE+VK2nHmda/o9A52OZ4z+FeCjCBUz0qPlniPKUcdOgJXLHgjG8L9/
hO9XIPWTwPW1y4lMizIIHzXvUVQT++BgCP+gnJPVmjBjXYkLbrwrDiH8yoNIyQP3
Og0fSk2o2wiZznmI2torf7N4RBq4nGm7jLVJMIK4s698J1BxGf5e11CkF02Q5kKw
8gywxManAs/6h8VUzDTmDKr4wc9ET9Tcot9fQao+QE2+7hSysIjlzk81b/JPEgQp
+d7rT9udbkWY/xbAtm6VKrgpZNkauVaA6TzG1Di7D2vMO8I/nnYXfMYh/TuiFKy5
DA/jFUM4WrxRRlRVdw3Q//nm3Cupp10R0ZtBWUMIIE1uTckAEQEAAYkCPAQYAQoA
JhYhBAxuG36C7YSsYVz3pU3nzt3fSsHYBQJeakQ1AhsMBQkDwmcAAAoJEE3nzt3f
SsHY+3QQAKTOEs2UPS88AoXu5pOSEXb796Pm4mXdsHYDETn97rX6/6q9TheS7YIL
+ucF1uLGaXVdU4abjtRXljzGHBTV+iU3v8hQf9xEvSw8Kz5cn4PxrgiznBYP9qLR
XVghObAmOsZQV3P/WqvVk04osl7vJbGQh5htCijPtUyflndYuyQ2JA8sf+rbRJf/
YfqWocfGJ2GjMPQ8W2vEV9mmnJTNCSBNYDtdWKGS2GCy79dhD+KrQDK+FEGR9PRI
Gy3DNFJbHnRynkZEzjqokuZYm38/t10T8/xWBsS34N5bxYcyL2dWUJY1riEwtgYc
Bc55fyYLmvCeABZN2fwHJ0eJ6FnDxBJXQ2dO/SHd2s1YqbilFCiW651GbiSLG7nY
d1PufJ4Ue3D0asUTiyV/6QxEXL82a5tTAv3CyBYH6v41kXwY60wToqBorOynbg+v
pYR11msOIJv/1IvmqEoHyWbr2fGrfs1CmhsuoIpRNKCj4OErkHCWIYhf7T4t7VL9
67WHYtO052Uppm6WccQOTa4gt9s3K8nTqanITSOlRfOvGPIdcR0zjWlcw5MyM4Y2
rA+H268WFDw+T9O+QOxRhcWyC8PBh2V3QrzGi0LRgd+MJuEAsgZ11oW8bcBwblyX
0PJJs47a/fWjkl07S92bgqb7C9mqysSPhRwEJd74rZROjGEeZcXBuQINBF5qRQEB
EAC9PnOzDMAQ+abDeSqWnzUyc2RVND4qvWkrnlMH4TFvLfNrQ2k95Qiz8LweQ8eT
undcAub2UFQVkGP7tHbjUUpN3sjF4kYvsixx8GnhQ3JMKYVnnACL4XN0oQjl4iyN
I/j6+2rEIaiH+lHRk5uHQ+en+1+bWyXgjKc3kjMd697su9DpdRe++AQZhIBXMjhH
dHKmQyW+ev7O7RfEw5pHTtHTn9/50aVATFAEp/ZSsbBYCZO2+TV1UjEwLzR2Xtwr
YJbauh5JEqEPEv9qQGuDXeXAwuztF3g5j2kPGdp6s3NHVMxufN49d/L6WWczuj7p
nRmuf57PH9rgLTvOB12TcvxPY8CUvYrZt9g+kmZCOHJxr7kAP5rZ3xuV+mTeTn1m
Sgvt4xDBcBPTutH0pxg2Mu8qv74ECk2zKWNAyHJ6guzf+zaXIv5GLNU/SR2HKJBv
r5tNSOB0oi5T6OX0iO75MJlCSJFD5TwKfYOCO3bGYbuuJgBQHFek1n4eUNxNA1eb
J0snoxxkAzHXYGkYPQMKdXAd5maz5TQUFZpv9qEbAodnMIXVLLQRn8adv+1nnMqv
CDaur7PpSTrwmtCpHOlgDtzdVKPAjQ+kv1Gs+33RCTcgPcBfENKDmQIOsvF+ns55
4DNFBeFPLDRxORxMkQcTBKbI0M7YDmtF8eAWlCmb778pvQARAQABiQI8BBgBCgAm
FiEEDG4bfoLthKxhXPelTefO3d9KwdgFAl5qRQECGyAFCQPCZwAACgkQTefO3d9K
wdh7NA//TIcHIfkupDUMwDVeT+4zer8F5pxuyXt7Rl2EVoRVyw6CoZDIcq0r7nKK
rgGWosluSCGJ8xfgJM0F69L/wY4YHw2YU9AjmoDiO5BLpjMrxcLTw09LECpcgiaI
PBHssoHygtLHkljaTCn7h07eeBqPnlnYu3xD9m1jZcPd4paPspebto7rrvH37jnx
rh+wkoj/zAKL4NDr5rsE1ndKlBwV6qsaxLKQ4eApkag53bjx+obzmUaXIA2MJ8ba
4RUS4eHZ9o+vLO4PEUBCpKcoL7J3zUIje2r4yyWanR5T1TJ4UPHTOzXh22AFOinT
RMJmRDdDC812+97o2X0n+Jc8JAI4RdVhZ9CwOx18FrzpVYpivd339WgYP+WsGNV8
r6Oc0Qeyd51ATVRKYfGgTBEl9I3R/Cwnlaw8fasJHvjGQoUn4YxA3RsXDe1qguLE
l2stY1GnAKVFBuz8od3+fwEsv9wB1Yd4AT04+DC/4lvhVny7Ko2m0m8gexI1HkOG
oDr954QSorhWH9qHrcwB+n6sXKa/8qWzgy/ceQttCVOhNjt352CGDYRWwEsV0sUr
+fP+HEgFA+KPTdThK7pSdeP9KH7mw6q3cRsOEpjy5s4GdVPmiT5tskCWCF5tm45T
Nc8zFARhOtSQ1NADfGnGa9GhfhnEU0RDbe7hHIwIZlBuQ7rB9d8=
=mpUw
-----END PGP PUBLIC KEY BLOCK-----
2.9 Team-Mitglieder

Es werden keine allgemeinen Informationen über die Team-Mitglieder veröffentlicht.

2.10 Kontaktadresse für Kunden

Die bevorzugte Kommunikationsmethode mit dem Sicherheitsteam ist es, eine E-Mail an <security@contact-software.com> zu schicken.
Wenn es nicht möglich oder aus speziellen Gründen nicht ratsam ist, per E-Mail zu kommunizieren, können Sie das Sicherheitsteam in den üblichen Bürozeiten (9 bis 17 Uhr montags bis freitags, außer feiertags) auch telefonisch erreichen.


3 Statuten
3.1 Auftrag

Der Zweck des Sicherheitsteams ist es, als Hauptaufgabe, die Sicherheit der von der CONTACT Software GmbH erstellten Produkte zu verbessern. Sekundäraufgabe daneben ist es, Kunden und Partner bei der Reaktion auf Sicherheitsvorfälle oder bei Sicherheitsproblemen im Zusammenhang mit Produkten der CONTACT Software GmbH zu unterstützen.

3.2 Zielgruppe und Kundenkreis

Das Sicherheitsteam bietet seine Dienste für die folgenden Gruppen an. Der Umfang der Dienstleistungen unterscheidet sich je nach Gruppe und kann Vereinbarungen in Wartungsverträgen unterliegen.

  • Mitarbeiter (insbesondere aus Entwicklung und Support) von CONTACT Software
  • Kunden die CONTACT Software Produkte nutzen
  • Partner von CONTACT Software

Anfragen die sich um allgemeinen Betrieb, die Webseite oder anderweitige nicht produktbezogene Sicherheitsthemen im Bezug auf die CONTACT Software GmbH beziehen werden von Fall zu Fall vom Sicherheitsteam bewertet und bearbeitet. In der Regel werden diese an die jeweils zuständigen Person weitergeleitet und nicht vom Sicherheitsteam selbst bearbeitet.

3.3 Organisatiorische Zugehörigkeit

Das Sicherheitsteam ist Teil der Software-Entwicklungsabteilung (SD) der CONTACT Software GmbH.

3.4 Autorität und Befugnisse

Das Sicherheitsteam hat Autorität über die Software-Entwicklungsprozesse und den Software-Release-Prozess bei der CONTACT Software GmbH.
Das Sicherheitsteam hat ausdrücklich KEINE Befugnisse bezüglich installierten Systemen bei Kunden und kann dort nur beratend tätig sein. Das Team hat auch keine Befugnisse bezüglich Produkten die von Partnern auf Basis von Produkten von CONTACT Software erstellt und vertrieben werden. Auch für den Betrieb der Webseite und den sonstigen operationalen Geschäften der CONTACT Software GmbH hat das Sicherheitsteam keine weiteren Befugnisse und ist nur beratend tätig.


4 Regeln
4.1 Aufgaben und Unterstützung

Der Fokus des Sicherheitsteams auf Produkte zeigt sich in der Art der übernommenen Aufgaben und den angebotenen Unterstützungsleistungen.  Der Fokus liegt eindeutig nicht auf der direkten Unterstützung im laufenden Betrieb von Systemen.
Das Sicherheitsteam bietet Unterstützung für die folgenden Themen und Arten von Vorfällen. Der Umfang der Unterstützung variiert je nach Thema und beteiligten Gruppen und kann von Wartungsverträgen abhängen.

  • Bearbeitung von Meldungen für Sicherheitsproblemen in CONTACT Software GmbH Produkten
  • Koordinierung des Veröffentlichungs-Prozesses für Sicherheitsprobleme und Patches
  • Beratung für Teams innerhalb der CONTACT Software GmbH
  • Bereitstellung von Werkzeugen und Dokumentation zu Sicherheitsthemen
  • Beratung, Hinweise und Unterstützung für CSIRT-Teams von Kunden bei der Bearbeitung von Sicherheitsvorfällen mit Bezug zu Produkten der CONTACT Software GmbH
  • Begrenzte Beratungsleistungen für Kunden bezüglich Themen wie sicherer Installation  und sicherem Betrieb von CONTACT Software GmbH Produkten
  • Beratungsleistungen für Partner bei Sicherheitsthemen mit Bezug zu Produkten der CONTACT Software GmbH
4.2  Kooperation, Zusammenarbeit und Weitergabe von Informationen

Das CONTACT Software GmbH Sicherheitsteam kooperiert und teilt Informationen nach Bedarf mit anderen CERT/CSIRTs. Informationen werden dabei nur gemäß ihrer Klassifikation und nach einer strikten Notwendigkeit (need-to-know) weitergeleitet, es sei denn, das gesetzliche Vorschriften anderes verlangen. Das CONTACT Software GmbH Sicherheitsteam unterstützt eine verantwortungsvolle Veröffentlichungspolitik (siehe z.B. OWASP Vulnerability Disclosure Cheat Sheet) mit einem üblichen Zeitrahmen von 30 Tagen für Sicherheitspatches, welcher bei Bedarf bis auf 90 Tage ausgedehnt wird.

4.3 Kommunikation und Authentifizierung

Wenn Sie per E-Mail via security@contact-software.com mit dem Team kommunizieren, so wird das Team die Nachrichten mit dem in Abschnitt 2.8 veröffentlichten PGP Schlüssel signieren. Der aktuelle Schlüssel kann von dem Keyserver keys.openpgp.org bezogen werden. Alle vertrauliche Kommunikation mit dem CONTACT Software Sicherheitsteam sollte mit dem öffentlichen PGP Schlüssel verschlüsselt werden. Absender sollten die Nachrichten nach Möglichkeit mit ihrem eigenen Schlüssel signieren.


5 Dienste
5.1 Behandlung von Sicherheitsvorfällen

Alle Vorfälle mit Bezug zu Produkten der CONTACT Software GmbH werden begutachtet. Vorfälle die nur Bezüge zu anderen Diensten oder Themen von CONTACT Software haben, werden an die zuständigen Geschäftsbereiche übermittelt. Melder sollten ihre typischen Kontakte verwenden, um solche Vorfälle zu melden. Das Sicherheitsteam ist nur eine Fallback Option für solche Themen. Wenn es notwendig ist, wird das Team eine tiefergehende Analyse durch entsprechende technische Experten durchführen lassen.

5.1.1 Bewertung von Sicherheitsvorfällen

  • Eingehende Meldungen zu Vorfällen werden bewertet, priorisiert und mit anderen Vorfällen verglichen.
  • Meldungen zu Vorfällen werden:
    – auf Vollständigkeit und Verständlichkeit geprüft
    –  bzgl. deren Auswirkungen und Reichweite klassifiziert und eingestuft

5.1.2 Koordination bei Sicherheitsvorfällen

  • Informationen zu Vorfällen (z.B. Log-Dateien), werden klassifiziert und gemäß der  Veröffentlichungsrichtlinie bewertet.
  • Alle beteiligten internen und externen Parteien werden benachrichtigt und auf Basis von Notwendigkeiten mit Informationen versorgt, gemäß der Veröffentlichungsrichtlinie,  falls nicht ein Gesetz etwas anderes regelt.

5.1.3 Bereinigung und Nachbereitung von Sicherheitsvorfällen

  • Die Ursache von Vorfällen wird gesucht und die Effekte werden für die Zukunft abgewehrt.
  • Wenn es notwendig ist, werden auch Analysen von unterwanderten, kompromittierten Systemen unterstützt.
5.2 Proaktive Aktivitäten
  • Sicherheitstraining für CONTACT Mitarbeiter
  • Sicherheitsreviews im Rahmen des sicheren Produktentwicklungsprozesses (SDL)
  • Dokumentation für eine sichere Installation/Konfiguration und empfohlene Vorgehensweisen
  • Entwicklung von Werkzeugen zur sicheren Konfiguration des Systems
  • Einlasten von neuen Sicherheitsanforderungen in die Produkt-Roadmap
  • Veröffentlichung von Sicherheitshinweisen
  • In-House Penetration Tests & Untersuchung von Ergebnissen aus von Kunden durchgeführten Penetration Tests
  • Continuous Integration / Continuous Deployment mit statischer Code-Analyse
  • Post-Mortem Analyse, um aus älteren Vorfällen zu lernen

6 Vorfälle melden

Es ist keine besondere Form notwendig. Bitte nutzen Sie die in Abschnitt 2.7 angegebene E-Mail Adresse.
Eine Meldung sollte nach Möglichkeit mindestens die folgenden Informationen enthalten:

  • Kontaktdaten
  • Name des Meldenden
  • Name und Adresse der zugehörigen Organisation
  • E-Mail Addresse, Telefon, PGP Schlüssel Informationen wenn verfügbar
  • Kurze Übersicht über das Problem
  • Betroffene Systeme:
    – Beteiligte Produktnamen und Versionen
    – Zusätzliche Informationen
    – Beobachtungen und Details, die zur Entdeckung des Problems geführt haben (Logdateien, Screenshots, etc.)

Falls Sie einen PGP-Schlüssel haben, so signieren Sie bitte Ihre Nachrichten, um einen authentifizierten Kommunikationskanal zu eröffnen.


7 Hinweise

Die Inhalte dieses Dokuments entsprechen dem Kenntnisstand zum Zeitpunkt der Erstellung. Eine Haftung für eventuelle Schäden, die durch die direkte oder indirekte Nutzung der Inhalte entstanden sind, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

 

Wir helfen Ihnen gern!
Sprechen Sie mit einem Mitarbeiter:


Standorte