Coordinated Vulnerability Disclosure (CVD) Policy

1. Einleitung

Bei SCADIX nehmen wir die Sicherheit unserer Produkte, Services und IT-Infrastruktur sehr ernst. Diese Coordinated Vulnerability Disclosure (CVD) Policy beschreibt, wie Sicherheitsforschende Schwachstellen verantwortungsvoll an uns melden können und was sie von unserem Reaktionsprozess erwarten dürfen.

Wir folgen internationalen Best Practices (BSI TR-03183-3, RFC 9116, ISO/IEC 29147) und setzen auf Zusammenarbeit, um digitale Souveränität und Open-Source-Sicherheit zu stärken.

2. Geltungsbereich

Diese Policy gilt für:

  • SCADIX-Produkte und -Services
  • Die SCADIX-Unternehmens-IT (z. B. scadix.de, interne Systeme, Kundenportale).

Nicht abgedeckt sind:

  • Social Engineering oder Phishing-Simulationen.
  • Physische Angriffe auf SCADIX-Standorte oder Mitarbeitende.
  • Denial-of-Service (DoS/DDoS)-Tests ohne vorherige Absprache.

3. Meldung einer Schwachstelle

Bitte nutzen Sie zur Meldung eine der folgenden Möglichkeiten:

  • Webformular: https://scadix.de/security-report
  • E-Mail (verschlüsselt bevorzugt):
  • PSIRT (Produkte & Services): psirt@scadix.de – PGP-Key
  • CSIRT (Unternehmens-IT): csirt@scadix.de – PGP-Key
  • Meldungen können auch anonym eingereicht werden.

4. Inhalt einer Meldung

  • Klare Beschreibung der Schwachstelle.
  • Betroffenes Produkt, Version oder System.
  • Schritte zur Reproduktion.
  • Potentielle Auswirkungen (Vertraulichkeit, Integrität, Verfügbarkeit).
  • Optional: Proof-of-Concept, Logs oder Screenshots.

5. Unsere Zusagen

  • Eingang Ihrer Meldung innerhalb von 5 Werktagen bestätigen.
  • Erste Einschätzung innerhalb von 10 Werktagen.
  • Regelmäßige Status-Updates bis zur Lösung.
  • Veröffentlichung von Advisories im CSAF-Format, falls zutreffend.

6. Erwartungen an Meldende

  • Keine öffentliche Ausnutzung oder Veröffentlichung vor Behebung/Mitigation.
  • Kein Zugriff oder Veränderung von Daten ohne Zustimmung.
  • Keine Beeinträchtigung der Verfügbarkeit unserer Services.
  • Zusammenarbeit im Sinne des CVD-Prozesses.

7. Anerkennung

Mit Ihrem Einverständnis können Sie in die SCADIX Security Hall of Fame aufgenommen werden.

8. Rechtlicher Hinweis

SCADIX wird gegen Personen, die Schwachstellen in gutem Glauben und gemäß dieser Policy melden, keine rechtlichen Schritte einleiten. Böswillige Ausnutzung oder Meldungen außerhalb dieses Rahmens sind hiervon ausgeschlossen.

Stand: 24.09.2025