Verantwortungsvolle Offenlegung
Wie wir mit Schwachstellen umgehen, die wir in unserer Forschung entdecken
Unser Ansatz
Wenn ODINT Schwachstellen in staatlicher digitaler Infrastruktur entdeckt, waegen wir das oeffentliche Interesse an Transparenz gegen die Verantwortung ab, Schaeden zu minimieren. Unsere Offenlegungsrichtlinie soll betroffenen Stellen angemessene Zeit zur Behebung geben und zugleich sicherstellen, dass wichtige Erkenntnisse letztlich die Oeffentlichkeit erreichen.
Leitprinzip
Wir sind der Auffassung, dass die oeffentliche Offenlegung von Sicherheitsproblemen die Sicherheit fuer alle langfristig verbessert. Gleichzeitig erkennen wir an, dass die sofortige Offenlegung kritischer Schwachstellen Schaden verursachen kann. Unsere Richtlinie soll diese Abwaegung ausbalancieren.
Kategorien der Offenlegung
Kritische Schwachstellen
Probleme, die Einzelpersonen unmittelbar schaden koennen, etwa offengelegte personenbezogene Daten oder Systeme zur Ueberwachung schutzbeduerftiger Bevoelkerungsgruppen. Wir benachrichtigen betroffene Stellen sofort und gewaehrleisten vor einer oeffentlichen Offenlegung 30 bis 90 Tage fuer die Behebung.
Schwachstellen mit hoher Schwere
Erhebliche Sicherheitsmaengel, die ausgenutzt werden koennten, etwa Authentifizierungsumgehungen oder ungeschuetzte Administrationsoberflaechen. Vor der Veroeffentlichung geben wir 60 Tage Vorlauf.
Allgemeine Feststellungen
Offengelegte Infrastruktur, die schlechte Sicherheitspraktiken erkennen laesst, aber nur ein begrenztes unmittelbares Risiko darstellt, etwa veraltete Softwareversionen oder fehlkonfigurierte Dienste. Wir koennen solche Erkenntnisse ohne Vorankuendigung veroeffentlichen, informieren betroffene Stellen jedoch haeufig aus Gruenden der Fairness.
Standard-Zeitplan der Offenlegung
Typischer Ablauf
Benachrichtigungsmethoden
Wir versuchen betroffene Stellen zu erreichen ueber:
- Offizielle Sicherheitskontaktadressen wie security@ oder abuse@
- Veroeffentlichte security.txt-Dateien
- Nationale CERT- oder CSIRT-Organisationen
- Direkten Kontakt mit zustaendigen Regierungsstellen
Faktoren fuer den Zeitplan
Wir koennen den Zeitplan zur Offenlegung verlaengern oder verkuerzen auf Grundlage von:
- Schadensschwere: Schwerwiegendere Probleme erhalten laengere Fristen zur Behebung
- Aktive Ausnutzung: Bereits aktiv ausgenutzte Schwachstellen koennen sofort offengelegt werden
- Reaktionsbereitschaft: Organisationen, die aktiv an einer Behebung arbeiten, koennen Verlaengerungen erhalten
- Oeffentliches Interesse: Probleme mit Auswirkungen auf demokratische Prozesse koennen eine schnellere Offenlegung rechtfertigen
- Koordination: Bei Zusammenarbeit mit Partnern stimmen wir eine koordinierte Offenlegung ab
Was wir veroeffentlichen
Unsere Offenlegungen enthalten in der Regel:
- Beschreibung der Schwachstelle und der betroffenen Systeme
- Moegliche Auswirkungen und Risikobewertung
- Zeitplan unserer Offenlegungsversuche
- Aktueller Status, ob behoben oder nicht
- Empfehlungen fuer betroffene Stellen
Wir veroeffentlichen keinen funktionsfaehigen Exploit-Code und keine detaillierten technischen Informationen, die in erster Linie Angreifern nuetzen wuerden.
Ausnahmen
Wir koennen in folgenden Faellen von dieser Richtlinie abweichen:
- eine Schwachstelle bereits aktiv ausgenutzt wird
- die betroffene Stelle nicht kooperiert oder mit rechtlichen Schritten droht
- die oeffentliche Sicherheit eine sofortige Offenlegung erfordert
- mit Partnern ein koordinierter Termin zur Offenlegung vereinbart wurde
Schwachstelle in ODINT-Systemen melden
Wenn Sie ein Sicherheitsproblem in der eigenen Infrastruktur von ODINT gefunden haben, melden Sie es bitte ueber unsere Seite zum Sicherheitskontakt.
Zuletzt aktualisiert: 27. Januar 2026