Schnellnavigation
Deutsch English

Vulnerability Disclosure Policy (VDP)

Wir als Liechtensteinische Landesverwaltung schätzen die wichtige Rolle unabhängiger Sicherheitsforscher, die ethisch handeln, um die Sicherheit unserer eigenen Daten, jener der Bevölkerung sowie unserer Kundschaft zu gewährleisten. Wir begrüssen daher Meldungen zu Schwachstellen in den digitalen Assets, die wir besitzen, betreiben oder warten. 

Als Einrichtung der öffentlichen Verwaltung des Landes ist die Landesverwaltung Liechtenstein “wesentliche Einrichtung” gem. Art. 3 Abs. 2 Bst. a Ziff. 4 des Cyber-Sicherheitsgesetzes (CSG, LGBl. 2025.111) zu qualifizieren und hat daher geeignete und verhältnismässige technische, operative und organisatorische Risikomanagementmassnahme zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu verhindern bzw. möglichst gering zu halten (Art. 4 Abs 1 CSG). Als eine solcher Massnahmen dient auch die vorliegende VDP.  

In dieser Richtlinie/Policy werden die Schritte zur Meldung von Schwachstellen beschrieben. Bitte lesen Sie die Richtlinie/Policy sorgfältig durch, bevor Sie unsere Systeme auf Sicherheitslücken testen oder diese melden. Wir verpflichten uns dazu, proaktiv mit Sicherheitsforschern zusammenzuarbeiten, um die gemeldeten Schwachstellen zu überprüfen und zu beheben. 

Alle öffentlich zugänglichen digitalen Inhalte, die sich im Besitz der Liechtensteinischen Landesverwaltung befinden, oder von ihr betrieben oder gepflegt werden (dies umfasst auch die eID.li-App für iOS und Android, welche im Apple App Store und bei Google Play verfügbar ist).

Bitte beachten Sie, dass wir für einige Teile unserer Systeme und Infrastruktur Dienste von anderen Unternehmen und/oder Organisationen nutzen. 

Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sind dem entsprechenden Anbieter oder der zuständigen Behörde zu melden. Sollten diese dennoch über diesen Kanal eingereicht werden, leiten wir die Schwachstelle an die relevante Organisation weiter. Der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Massnahmen zur Behebung verantwortlich. 

Bei der Zusammenarbeit mit uns anhand dieser Richtlinie/Policy, verpflichten wir uns zu folgendem: 

  • Zeitnahe Reaktion, um den Eingang der Schwachstellenmeldung zu bestätigen
  • Proaktive Zusammenarbeit, um die Meldung nachvollziehen zu können und zu validieren 
  • Offener Dialog, um allfällige Probleme oder Herausforderungen zu besprechen  
  • Eine möglichst zeitnahe Behebung der entdeckten Schwachstellen
  • Einschätzung des Zeitrahmens für die Bearbeitung der Schwachstellenmeldung  
  • Auf dem Laufenden halten über den Fortschritt des Bearbeitungsprozesses der Schwachstelle  
  • Benachrichtigung, wenn die Schwachstelle behoben wurde  
  • Würdigung, wenn Sie als Erster eine einzigartige Schwachstelle melden und Ihre Meldung eine Code- oder Konfigurationsänderung nach sich zieht
  • Bereitstellung eines Legal Safe Harbors mittels dieser Richtlinie/Policy, um das proaktive Finden von Schwachstellen zu ermöglichen  

Bei der Teilnahme an unserem Schwachstellen-Meldungsprogramm bitten wir Sie, insbesondere:

  • sich an die Regeln und Anweisungen zu halten, die in dieser Richtlinie/Policy beschrieben sind;  
  • in der Zusammenarbeit und daraus resultierenden Meldungen keine geltenden Gesetze zu verletzen;  
  • jede entdeckte Schwachstelle umgehend zu melden;  
  • die entdeckten Schwachstellen nicht auszunutzen oder anderweitig zu verwenden, ausser zum Zweck der Meldung an uns;  
  • die Privatsphäre und den Datenschutz anderer zu respektieren, unsere Systeme nicht zu stören, Daten nicht zu zerstören oder zu manipulieren und andere Benutzer der Systeme nicht zu beeinträchtigen;
  • nur die offiziellen Kanäle zur Meldung zu nutzen, um Informationen bezüglich Schwachstellen mit uns zu besprechen; sowie
  • die Vertraulichkeit von Details zu entdeckten Schwachstellen gemäss dieser Richtlinie/Policy zu gewährleisten. 

Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht, bitten wir Sie, insbesondere:  

  • den Zugriff limitieren auf das absolute Minimum für die Demonstration der Schwachstelle, das Testen einzustellen und sofort eine Meldung einzureichen;
  • nur mit Testkonten zu interagieren, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung vom Kontoinhaber haben;
  • keine Forderungen mit der Meldung zu stellen;
  • uns eine angemessene Frist zur Behebung des Problems zu geben; und  
  • eine Veröffentlichung von Schwachstellen mit uns zu koordinieren.
  • Sollten Ihnen während Ihrer Tests personenbezogene Daten oder vertrauliche Informationen bekannt werden, beachten Sie, dass solche Daten und Informationen nicht absichtlich abgerufen, gespeichert, kopiert, veröffentlicht oder an Dritte weitergegeben werden dürfen. Beschränken Sie den Zugriff auf personenbezogene Daten strikt auf das technisch erforderliche Minimum, das zur Demonstration der Schwachstelle erforderlich ist und informieren Sie uns umgehend darüber. Sämtliche personenbezogene Daten und Informationen, auf die Sie Zugriff erhalten, sind vertraulich zu behandeln und dürfen ausschliesslich im Rahmen der Meldung an uns verwendet werden. 

Wir ermutigen sie, uns alle von Ihnen entdeckten Schwachstellen zu melden, folgenden Aktivitäten sind im Rahmen dieser Richtlinie/Policy aber strikt untersagt:

  • Handlungen, die unsere Systeme oder unsere Kunden negativ beeinträchtigen können (z. B. Phishing, Spam, Brute-Force-Angriffe, Denial-of-Service usw.) 
  • Zerstörung oder Beschädigung von Daten oder Informationen, die Ihnen nicht gehören, oder der Versuch dazu  
  • Durchführung von physischen oder anderweitigen Angriffen auf unser Personal, Eigentum, Gebäude oder Infrastruktur  
  • Social Engineering gegenüber unseren Mitarbeitern, Kunden oder Auftragnehmern 

Wir schätzen die Bemühungen externer Sicherheitsforscher, die Schwachstellen identifizieren und diese verantwortungsbewusst offenlegen, damit sie behoben werden können. 

Unsere Richtlinie/Policy erlaubt die Veröffentlichung, sofern die folgenden Bedingungen erfüllt sind (Koordinierte Offenlegung von Schwachstellen): 

  • Die meldende Person darf die Schwachstelle nicht veröffentlichen, bevor wir bestätigt haben, dass diese behoben ist und eine Offenlegung von unserer Seite akzeptiert wurde.  
  • Es darf keine Veröffentlichung genauer Details des Problems erfolgen, wie z. B. Exploits oder Proof-of-Concept-Code. 
 

Bitte melden Sie Schwachstellen über den folgenden Link und geben Sie alle relevanten Informationen an. Bitte reichen Sie keine Berichte von automatisierten Tools ein, ohne diese zu überprüfen. Je mehr der folgenden Details Sie bereitstellen, desto einfacher wird es für uns sein, das Problem zu analysieren und zu beheben: 

  • Technische Beschreibung der Schwachstelle, einschliesslich: 
  • Verwendete Browserinformationen (Typ und Version)
  • Relevante Informationen zu verbundenen Komponenten und Geräten  
  • Betroffene Plattform(en) und URL(s)
  • Beispielcode zur Demonstration der Schwachstelle und/oder detaillierte Schritte zur Reproduktion  
  • Bedrohungs-/Risikobewertung 
  • Datum und Uhrzeit der Entdeckung 
  • Kontaktinformationen 
  • Allfällige Pläne für eine Veröffentlichung, falls dies angestrebt wird. 

Bitte beachten Sie, dass diese Kanäle ausschliesslich zur Meldung von nicht offengelegten Schwachstellen verwendet werden dürfen und nicht für andere Support- oder Informationsanfragen. Anfragen, die keine unveröffentlichten Schwachstellen betreffen, werden nicht beantwortet. 

Der nachfolgend beschriebene und gewährte «Legal Safe Harbor» gilt nur, wenn Ihre Aktivitäten innerhalb des definierten Scopes und im Einklang mit den hier beschriebenen Erwartungen und Regeln erfolgen. Vorausgesetzt ist zudem, dass Sie in gutem Glauben handeln, also ausschliesslich mit dem Ziel, Schwachstellen verantwortungsbewusst zu identifizieren und zu melden, ohne vorsätzlich Schaden zu verursachen, vertrauliche oder geheime Informationen offenzulegen oder die Systeme über das zur Demonstration der Schwachstelle hinausgehende notwendige Mass zu beeinträchtigen. Handlungen ausserhalb dieser Grenzen können den Schutz des Legal Safe Harbor entfallen lassen.  

Wir werden keine rechtlichen Massnahmen ergreifen oder Beschwerden bei Strafverfolgungsbehörden anregen gegen Teilnehmer dieses Programms wegen unbeabsichtigter Verstösse gegen die Policy, sofern diese in gutem Glauben erfolgt sind. 

Wir verstehen Aktivitäten von Teilnehmern, sofern sie gutgläubig, verantwortungsvoll und im Einklang mit dieser Richtlinie/Policy erfolgen, als autorisierten Zugriff gemäss dem liechtensteinischen Strafgesetzbuch. Dies umfasst beispielsweise die §§ 118a, 119, 119a, 126a, 126b, 126c, 131a und 225a Strafgesetzbuches (LGBl. 1988.037). Sofern es sich hierbei um Ermächtigungsdelikte handelt (§§ 118a, 119 und 119a StGB), wird seitens des Amts für Informatik keine Ermächtigung zur strafrechtlichen Verfolgung erteilt. Hinsichtlich der anderen Straftatbestände, die als Offizialdelikte von Amts wegen zu verfolgen wären, wird das Amt für Informatik keine Anzeige gegen Teilnehmer erstatten, die versuchen, eingesetzte Sicherheitsmassnahmen zu umgehen, um die in dieser Richtlinie/Policy benannten Dienste zu schützen. 

Wenn rechtliche Schritte von einer Drittpartei gegen einen Teilnehmer eingeleitet werden sollten und der Teilnehmer gemäss dieser Richtlinie/Policy gehandelt hat, werden wir die erforderlichen Schritte unternehmen, um die zuständigen Behörden (z.B. Landespolizei, Staatsanwaltschaft, Datenschutzstelle) darauf hinzuweisen, dass die Handlungen dieses Teilnehmers in Übereinstimmung mit dieser Richtlinie/Policy stattgefunden haben. Dies umfasst beispielsweise den Hinweis auf § 126c Abs. 2 StGB, wonach Teilnehmer unter Einhaltung dieser Richtlinie freiwillig verhindern, dass Computerprogramme, vergleichbare Vorrichtungen, Passwörter etc. in rechtswidriger Weise gebraucht werden bzw. durch ihr Zutun die Gefahr eines rechtswidrigen Gebrauchs im Sinne von §§ 118a, 119, 119, 126a, 126b, 126c oder 148a StGB verhindert oder verringert wird. 

Bei geringfügigen Verstössen gegen diese Richtlinie/Policy kann eine Warnung ausgesprochen werden. Bei schwerwiegenden Verstössen sind wir zur Anzeige verpflichtet, die eine Anklage der Staatsanwaltschaft zur Folge haben kann. 

Sie sind wie immer verpflichtet, alle geltenden Gesetze einzuhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Tests und Aktivitäten mit dieser Richtlinie/Policy übereinstimmen, reichen Sie bitte eine Meldung über einen unserer offiziellen Kanäle ein, bevor Sie Ihre Aktivitäten fortsetzen. 

Beachten Sie, dass der Legal Safe Harbor nur für rechtliche Ansprüche gilt, die der Kontrolle der an dieser Richtlinie teilnehmenden Organisation unterliegen, und dass die Richtlinie/Policy unabhängige Dritte nicht bindet. 

Diese Richtlinie/Policy unterliegt dem liechtensteinischen Recht. Der ausschliessliche Gerichtsstand für alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Richtlinie/Policy entstehen, ist Vaduz, Liechtenstein.  

Das Amt für Informatik und die Landesverwaltung Liechtenstein übernimmt keine Haftung für Schäden, Verluste oder Kosten, die Ihnen im Zusammenhang mit Ihren Tests oder der Meldung von Schwachstellen entstehen. Dies umfasst insbesondere, aber nicht ausschliesslich, direkte oder indirekte Schäden an Ihren Testsystemen, Software, Datenverluste, entgangene Gewinne oder andere Folgeschäden.  

Sie sind selbst dafür verantwortlich, Ihre Tests so durchzuführen, dass weder unsere Systeme, noch Dritte unzulässig beeinträchtigt werden. Für Schäden, die durch Handlungen ausserhalb des in dieser Policy definierten Scopes oder entgegen den hierin genannten Regeln verursacht werden, behalten wir uns vor, rechtliche Schritte einzuleiten und gegebenenfalls Schadenersatz zu fordern.  

Link Website: https://www.llv.li/de/landesverwaltung/amt-fuer-informatik/wissenswertes/vulnerability-disclosure-policy-vdp-

Suche

Filtermöglichkeiten

  • Inhaltstyp
Zu den Suchresultaten springen

Für Ihre Suchanfrage konnten keine Ergebnisse gefunden werden.

Im Folgenden finden Sie ähnliche oder themenverwandte Inhalte, die für Sie von Interesse sein könnten.Wenn Sie nicht fündig werden, nutzen Sie bitte die Navigation.

    0 Ergebnisse
    Anwendungen
      Formulare
        Dateien