Zum Hauptinhalt springen
Blackberry-Logo
Hintergrund des Helden

BlackBerry-Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

BlackBerry ist bestrebt, die Sicherheit seiner Produkte kontinuierlich zu verbessern, und bemüht sich, potenzielle Schwachstellen proaktiv zu identifizieren und zu beseitigen, bevor unsere Produkte auf den Markt kommen.

Trotz unserer Bemühungen können jedoch in seltenen Fällen Schwachstellen in unseren Produkten und Websites auftreten. Wir erkennen dies an und arbeiten mit denjenigen zusammen, die diese Schwachstellen entdecken und an BlackBerry melden, damit wir sie beheben können.

Um eine effektive Zusammenarbeit mit diesen Mitwirkenden zu gewährleisten, haben wir dieseBlackBerry-Richtlinie zur koordinierten Offenlegung von Sicherheitslückendokumentiert, um die Zusammenarbeit und die Meldung von Sicherheitslücken durch externe Parteien zu fördern.

Die wichtigsten Punkte dieser Richtlinie sind:

  • Der Prozess zur Meldung von Sicherheitslücken umfasst derzeit unterstützte Produkte.

  • BlackBerry wird in gutem Glauben mit Findern zusammenarbeiten, die Schwachstellen gemäß einigen Standardrichtlinien testen und melden.

  • Das Product Security Incident Response Team (BBPSIRT) von BlackBerry wird gemeinsam mit den Entdeckern einen Weg für die koordinierte Offenlegung der Sicherheitslücke festlegen.

  • Bei Nichteinhaltung derBlackBerry-Richtlinie zur koordinierten Offenlegung von Sicherheitslückenund aller geltenden Gesetze behält sich BlackBerry das Recht vor, alle geeigneten Rechtsmittel einzulegen.

Umfang

Der Prozess zur Meldung von Sicherheitslücken umfasst Produkte, die derzeit von BlackBerry, unseren Tochtergesellschaften und unserer Website unterstützt werden.

Um festzustellen, ob ein BlackBerry-Produkt unterstützt wird, lesen Sie bitte denBlackBerry Software Support Lifecycle.

Wer sollte diese Richtlinie lesen?

Diese Richtlinie sollte von allen Findern gelesen werden, die Schwachstellen in von BlackBerry unterstützten Produkten oder auf BlackBerry-Websites entdecken, testen und melden. 

Was wir von Findern erwarten

Wir werden in gutem Glauben mit Findern zusammenarbeiten, die Schwachstellen gemäß den folgenden Richtlinien testen und melden.

BlackBerry unterstützt uneingeschränkt Sicherheitstests, die: 

  • Wird in einer Weise durchgeführt, die die Sicherheit und Privatsphäre aller unserer Kunden und Partner schützt.

  • Erfüllt alle geltenden Gesetze und Vorschriften in Bezug auf Sicherheitstests.

  • Respektiert und hält sich an seine bestehenden Vereinbarungen mit BlackBerry und vertraglichen Bestimmungen, die die geistigen Eigentumsrechte von BlackBerry regeln.

  • Führt nur innerhalb des in dieser Richtlinie festgelegten Rahmens Forschungsarbeiten durch.

  • Stellt BlackBerry zum Zeitpunkt der Offenlegung alle Details zum Sicherheitsproblem zur Verfügung.

  • Gibt BlackBerry die Möglichkeit, Korrekturmaßnahmen zu ergreifen, bevor die Sicherheitslücke öffentlich bekannt gegeben oder an Dritte weitergegeben wird. 

So melden Sie eine Sicherheitslücke

Wenn Sie vermuten, dass Sie eine Sicherheitslücke in einem BlackBerry-Produkt oder auf einer BlackBerry-Website entdeckt haben, teilen Sie uns dies bitte mit, indem Sie sich an das BlackBerry PSIRT (BBPSIRT) untersecure@blackberry.com wenden.

Wenn Sie eine Sicherheitslücke melden, geben Sie bitte alle Details an.

Dazu gehören:

  • Der Name, die Version und die Konfigurationsdetails des betroffenen Produkts,

  • Die Namen aller Finder, die an der Entdeckung der Sicherheitslücke beteiligt waren,

  • Eine Beschreibung der Schwachstelle und der Umgebung, in der sie entdeckt wurde,

  • Detaillierte Schritte zur Reproduktion der Sicherheitslücke und

  • Screenshots oder Videos zum Nachweis der Machbarkeit (Proof of Concept, PoC)

Was Finder vom BBPSIRT erwarten können

 Das BBPSIRT wird:

  • Bestätigen Sie innerhalb von drei nordamerikanischen Werktagen den Fundbericht, eröffnen Sie einen Fall in unserem Fallmanagementsystem und weisen Sie einen Fallmanager zu, der die Untersuchung verfolgt.

  • Untersuchen Sie den ersten Fall einer gemeldeten einzigartigen Sicherheitslücke in einem derzeit unterstützten BlackBerry-Produkt oder auf einer BlackBerry-Website gründlich.

  • Überprüfen Sie die gemeldete Schwachstelle. Wir werden uns möglicherweise mit dem Finder in Verbindung setzen, um in dieser Phase zusätzliche Informationen zu erhalten.

  • Kommunizieren Sie über den Fallmanager mit dem Finder, um das Vorliegen der Schwachstelle und gegebenenfalls den damit verbundenen Plan zur Behebung zu bestätigen.

  • Nach Behebung der Schwachstelle teilen Sie die Details dem Finder mit und

  • Öffentliche Würdigung des Finders auf unserer Website. Das BBPSIRT würdigt den/die Finder, die im ersten Bericht aufgeführt sind, oder den/die Finder, mit denen das BBPSIRT direkt zusammenarbeitet, um die Schwachstelle zu beheben.

BBPSIRT Koordinierte Offenlegung und Veröffentlichung von Sicherheitslücken

Das BBPSIRT gibt Sicherheitshinweise für unterstützte BlackBerry-Produkte heraus und arbeitet mit den Entdeckern zusammen, um den besten Weg für eine koordinierte Offenlegung der Sicherheitslücke zu finden. Dies kann die Herausgabe eines Sicherheitshinweises für unterstützte BlackBerry-Produkte beinhalten. Sicherheitshinweise werden öffentlich bekannt gegeben und auf unserer Website veröffentlicht.

Sicherheitshinweise werden veröffentlicht, sobald unterstützte Versionen von Produkten Software-Updates mit der behobenen Sicherheitslücke veröffentlicht haben. Für bestimmte Produkte, wie beispielsweise das QNX® RTOS, erhalten unsere Kunden einen vertraulichen Hinweis, bevor der Sicherheitshinweis öffentlich bekannt gegeben und auf unserer Website veröffentlicht wird. Damit soll sichergestellt werden, dass Kunden, die diese Produkte verwenden, die Möglichkeit haben, unsere Sicherheitslückenbehebungen in ihre Software zu integrieren und ihre eigenen Software-Wartungsversionen herauszugeben.

Rechtlicher Hinweis

BlackBerry nimmt seine Verpflichtung zur Gewährleistung der Sicherheit seiner Produkte ernst und erkennt den enormen Wert an, den die Sicherheitsforschungsgemeinschaft für diese Bemühungen hat, und begrüßt diesen. BlackBerry wird stets bemüht sein, mit allen Personen, die Schwachstellen gemäß den festgelegten Richtlinien von BlackBerry und derBlackBerry Coordinated Vulnerability Disclosure Policy melden, in gutem Glauben zu handeln. 

Bei der Durchführung von Sicherheitsforschungsaktivitäten in Bezug auf BlackBerry-Produkte und -Dienstleistungen, einschließlich der Einreichung eines BlackBerry-Sicherheitslückenberichts, müssen Sie dieBlackBerry-Richtlinie zur koordinierten Offenlegung von Sicherheitslückenund alle geltenden Gesetze einhalten. Wenn erforderlich und/oder nach einer Untersuchung durch BlackBerry haben wir festgestellt, dass Sie diese Richtlinie oder geltende Gesetze nicht eingehalten haben, behält sich BlackBerry das Recht vor, alle geltenden Rechtsmittel einzulegen, einschließlich derjenigen nach geltendem Zivil- und/oder Strafrecht, je nach Gerichtsbarkeit.

BlackBerry behält sich außerdem das Recht vor, diese Richtlinie von Zeit zu Zeit ohne vorherige Ankündigung zu aktualisieren, um sicherzustellen, dass sie angesichts sich ändernder Technologien, geltender Gesetze und Geschäftspraktiken von BlackBerry relevant und aktuell bleibt.

Diese Version derBlackBerry-Richtlinie zur koordinierten Offenlegung von Sicherheitslückenersetzt alle früheren Versionen. Alle Aspekte dieser Richtlinie können ohne vorherige Ankündigung geändert werden, ebenso wie Einzelfallausnahmen. BlackBerry wird sich bemühen, alle Ebenen der Zusammenarbeit zu koordinieren, kann jedoch kein bestimmtes Maß an Reaktion garantieren.