Hauptinhalt

Richtlinie zur Meldung von Schwachstellen (CVD Policy)

Sollten Sie eine oder mehrere Schwachstellen in IT-Produkten, IT-Systemen oder IT-Dienstleistungen der Sächsischen Staatskanzlei gefunden haben, können Sie sich vertrauensvoll an uns wenden. Wir nehmen jede gemeldete Schwachstelle ernst.

Wir versprechen, dass wir

  • jeden Schwachstellenbericht innerhalb des gesetzlichen Rahmens vertraulich behandeln.
  • personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weitergeben.
  • eine Rückmeldung zu jeder getätigten Schwachstellenmeldung geben.
  • keine strafrechtlichen Schritte gegen Sie einleiten, solange Sie diese Richtlinie und Grundsätze einhalten. Dies gilt nicht, wenn Sie erkennbar kriminelle Absichten verfolgen oder verfolgt haben.

Wir erwarten von Ihnen, dass Sie

  • die gefundene Schwachstelle nicht missbräuchlich ausgenutzt haben, d. h. Sie keine Schäden über die gemeldete Schwachstelle hinaus angerichtet haben.
  • keine Angriffe, wie z. B. Social-Engineering-, Spam-, (Distributed) DoS- oder »Brute Force«-Angriffe etc., gegen IT-Systeme oder Infrastrukturen durchgeführt haben.
  • mit der Schwachstellenmeldung nicht Ergebnisse aus automatisierten Tools oder Scans ohne erklärende Dokumentation übergeben.
  • mit der Schwachstellenmeldung bisher nicht bekannte Informationen übergeben.
  • eine gültige E-Mail-Adresse hinterlegt haben, damit wir Sie im Falle von Rückfragen kontaktieren können.

Bitte senden Sie Ihren Schwachstellenbericht an security@sk.sachsen.de.

zurück zum Seitenanfang