Wer kann eine Sicherheitslücke melden?
Jeder, der eine mögliche Schwachstelle in den Systemen von Van Lanschot Kempen entdeckt, kann eine Sicherheitslücke melden.

Welche Domains sind betroffen?
Das Programm zur verantwortungsvollen Offenlegung erstreckt sich nur auf die folgenden Domains (und alle untergeordneten Subdomains):

• vanlanschotkempen.com
• vanlanschot.be

Welche Sicherheitslücken können gemeldet werden?

Sie können alle Probleme im Zusammenhang mit der Sicherheit der von Van Lanschot Kempen online angebotenen Dienste melden. Im Folgenden einige Beispiele für Schwachstellen, die gemeldet werden können:

• Remote Code execution
• Cross Site Scripting (XSS)-Sicherheitslücken
• Cross Site Request Forgery (CSRF)-Sicherheitslücken
• SQL Injection-Sicherheitslücken
• Encryption-Sicherheitslücken
• Unbefugter Zugriff auf Daten

Ausschlüsse

• Alle Meldungen ohne einen eindeutigen Bericht mit Hinweisen auf eine mögliche Verarbeitung
• Probleme in Bezug auf SPF/DKIM/DMARC-Einträge
• Offenlegung von Fingerprinting/Version Banner für gemeinsame/öffentliche Dienste
• Öffentlich zugängliche Dateien und Verzeichnisse mit nicht sensiblen Informationen (z. B. robots.txt)
• Vorhandensein einer ‚Autovervollständigungs’- oder ‚Kennwort speichern’-Funktion in der Anwendung oder im Webbrowser
• Cross Site Request Forgery (CSRF)-Schwachstellen auf statischen Seiten und Abmeldefunktion
• Brute-Force-Angriffe gegen ‚Passwort vergessen’-Seiten
• Umleitung von HTTP zu HTTPSHTTP OPTIONS aktiviert
• Host Header Injection
• Fehlende HTTP-Sicherheits-Header wie Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
• HTML gibt keinen Zeichensatz an
• HTML verwendet nicht erkannten Zeichensatz
• Fehlen der Flaggen ‚Sicher’/’HTTPOnly’ bei nicht sensiblen Cookies
• Probleme im Zusammenhang mit Clickjacking
• Nutzerzählung auf Websites, die keine Online-Zahlungstransaktionen verarbeiten
• Möglicherweise veraltete Server- oder Anwendungsversionen (von externen Parteien) ohne Nachweis, dass diese Versionen angreifbar sind, und ohne Betriebsnachweis
• Berichte über unsichere SSL/TLS-Protokolle und andere Fehlkonfigurationen
• Allgemeine Sicherheitslücken im Zusammenhang mit Software oder Protokollen, die nicht unter die Kontrolle von Van Lanschot Kempen fallen
• Distributed Denial of Service (DDoS)-Angriffe
• Spam oder Social Engineering-Techniken
• Berichte über regelmäßige Scans, z. B. Port-Scanner

Wie sollte ein Bericht aussehen?
Sie haben eine Sicherheitslücke entdeckt? Bitte kontaktieren Sie uns so schnell wie möglich, indem Sie eine E-Mail an: responsibledisclosure@vanlanschotkempen.com.

Beschreiben Sie bitte das von Ihnen entdeckte Sicherheitsproblem so detailliert wie möglich. Da Ihr Bericht von Fachleuten gelesen wird, können Sie Fachausdrücke verwenden und so spezifisch wie nötig sein.

Sie können wählen, ob Sie Ihre Kontaktdaten (Name und eventuell Ihre Telefonnummer) angeben oder eine anonyme Meldung machen möchten.

Was machen wir mit Ihrem Bericht?
Ein Team von Sicherheitsexperten wird Ihre Meldung untersuchen und innerhalb von zwei Arbeitstagen eine erste Antwort geben. In der Zwischenzeit behandeln Sie das Problem bitte vertraulich, besprechen es mit unseren Experten und geben ihnen Zeit, es zu lösen. Wir werden Sie über unsere Bewertung Ihrer Meldung informieren und Ihnen mitteilen, ob und wann wir eine Lösung umsetzen werden.
 
Anerkennung
Zum Dank für Ihre Hilfe belohnen wir jede Meldung einer Sicherheitslücke, die wir tatsächlich beheben können oder die zu einer Änderung unserer Dienste führt. Van Lanschot Kempen wird nach eigenem Ermessen entscheiden, ob Ihr Bericht für eine Anerkennung in Frage kommt und welche Anerkennung angemessen wäre. Falls Ihr Bericht die Voraussetzungen erfüllt, benötigen wir Ihre persönlichen Daten, um eine Zahlung vornehmen zu können.

Bitte beachten Sie: Sie können gerne eine anonyme Meldung machen. Wir möchten jedoch darauf hinweisen, dass wir in diesem Fall nicht in der Lage sind, mit Ihnen Vereinbarungen über die Weiterverfolgung Ihrer Meldung, eine mögliche Anerkennung oder die Erstattung einer Anzeige zu treffen. (Siehe Abschnitt ‚Welche Regeln werden angewendet?’)

Welche Regeln werden angewendet?
Bei der Untersuchung der von Ihnen entdeckten Sicherheitslücke haben Sie möglicherweise versehentlich eine Straftat begangen. Wenn Sie in gutem Glauben, integer und unter sorgfältiger Einhaltung der nachstehend aufgeführten Regeln handeln, hat die Bank keinen Grund, Anzeige zu erstatten. Daher ist es wichtig, dass Sie sich bei der Untersuchung einer möglichen Sicherheitslücke an die folgenden Regeln halten:

• Bitte stellen Sie sicher, dass Sie mit der von Ihnen entdeckten Sicherheitslücke keinen Schaden anrichten. Ihre Handlungen dürfen unter keinen Umständen zu einer absichtlichen Unterbrechung der Dienste oder zur Offenlegung von Bank- oder Kundendaten führen.
• Bitte verschaffen Sie sich nicht durch Social Engineering Zugang zu einem System.
• Verwenden Sie keine automatischen Scanner zum Aufspüren von Sicherheitslücken (z. B. Burp Suite Scanner, Acunetix usw.).
• Installieren Sie keine ‚Hintertür’ in einem Informationssystem, um anschließend dessen Anfälligkeit zu demonstrieren, da dies zusätzlichen Schaden und unnötige Sicherheitsrisiken verursachen kann.
• Beschränken Sie die Nutzung einer Sicherheitslücke auf ein absolutes Minimum. Tun Sie nur das Nötigste, um die Sicherheitslücke nachzuweisen.
• Ändern oder entfernen Sie keine Daten aus dem System und halten Sie sich beim Kopieren von Daten möglichst zurück (wenn ein einziger Datensatz ausreicht, um das Problem zu demonstrieren, beschränken Sie sich darauf und fahren Sie nicht fort).
• Nehmen Sie keine Systemänderungen vor.
• Versuchen Sie nicht wiederholt, sich Zugang zum System zu verschaffen. Wenn Sie Zugang erhalten haben, teilen Sie diesen nicht mit anderen.
• Verschaffen Sie sich nicht mit Hilfe von Brute Force-Methoden Zugang zu Systemen. Schließlich hat das wiederholte Ausprobieren von Passwörtern nur wenig mit dem Aufspüren von Sicherheitslücken zu tun.
• Nur die erste Person, die eine Sicherheitslücke meldet, kann eine Anerkennung hierfür erhalten.

Ihre Privatsphäre
Wenn Sie über die Weiterverfolgung Ihrer Meldung informiert werden möchten, können Sie uns Ihre Kontaktdaten (Name, E-Mail-Adresse, eventuell Ihre Telefonnummer) mitteilen. Wir werden Ihre Identität ohne Ihre vorherige Zustimmung nicht an Dritte weitergeben und Ihre persönlichen Daten nicht für andere Zwecke als die ordnungsgemäße Bearbeitung Ihrer Meldung verwenden, es sei denn, wir sind gesetzlich zur Weitergabe dieser Informationen verpflichtet. Wir schützen Ihre persönlichen Daten in Übereinstimmung mit den Richtlinien des niederländischen Datenschutzgesetzes (WBP).

Sonstige Bestimmungen und Bedingungen
Alle Angelegenheiten im Zusammenhang mit Internetsicherheit und Datenschutz unterliegen dem niederländischen Recht. Wir können nur Berichte akzeptieren, die in Niederländisch oder Englisch verfasst sind.