Cybersecurity

Koordinierte Erklärung zur Offenlegung von Schwachstellen bei Bayer

Der Unternehmenszweck von Bayer – Science for a better Life – zielt darauf ab, das Leben unserer Kunden zu verbessern. Im Mittelpunkt steht dabei die Verpflichtung zur Sicherheit, die uns bei der Entscheidungsfindung während des gesamten Lebenszyklus unserer Produkte beeinflusst. Cybersicherheit hat sich zu einem integralen Bestandteil entwickelt, wenn es darum geht, sichere Produkte und Serviceleistungen anzubieten.

 

Bayer verfolgt eine globalen Sicherheitspolitik, die das Management von Zwischenfällen und die Risikobewertung in Bezug auf potenzielle Sicherheits- und Datenschutzschwachstellen in unseren Geschäftsabläufen, sowie in Bezug auf unsere Produkte und Serviceleistungen leitet.

Als Teil unserer Anstrengungen, sichere Lösungen anbieten zu können, erkennen wir die Bedeutung der Arbeit an, die von selbstorganisierten Sicherheitsforschern im Hinblick auf die unaufgeforderte, proaktive Identifizierung von Schwachstellen und Vorschlägen zur Risikominderung geleistet wird. Bayer unterstützt voll und ganz die koordinierte Offenlegung von Sicherheitslücken und ermutigt Sicherheitsforscher, die sich auf diesem Gebiet engagieren, dies auf verantwortungsvolle Weise zu tun. Die nachstehenden Informationen beschreiben das Verfahren, mit dem Cyber-Sicherheitsforscher Bayer aufgedeckte Schwachstellen melden können. Wir haben diese Richtlinie im Einklang mit den Unternehmenswerten von Bayer und als Verpflichtung gegenüber den in gutem Glauben handelnden Sicherheitsforschern, die uns ihr Fachwissen und ihre Beobachtungen zur Verfügung stellen, um bisher unaufgedeckte Schwachstellen aufzuzeigen, entwickelt und umgesetzt.

Programm und Umfang

Diese koordinierte Richtlinie zur Offenlegung von Schwachstellen gilt für alle kommerziell erhältlichen 
Bayer-Produkte, Serviceleistungen sowie für alle Unternehmensaktivitäten. Wir wollen mit denjenigen in der Cyber-Sicherheitsforschung zusammenarbeiten, die einen Beitrag zur Stärkung der internationalen Cybersicherheit leisten und diese weiter verbessern wollen, indem sie proaktiv Risiken erkennen und helfen, diese zu minimieren, damit wir ein sichereres Umfeld für unsere Kunden, Patienten und Mitarbeiter schaffen können.

 

Unter Berücksichtigung dessen wird Bayer für Forscher, die im Rahmen des CVD-Verfahrens (Coordinated Vulnerability Disclosure) auf verantwortungsvolle und ethische Weise Schwachstellen melden, eine „Hall of Fame“ einrichten. Die Veröffentlichung wird von Bayer überprüft, validiert und bearbeitet.

 

Das in dieser Erklärung festgelegte Meldeverfahren ist nicht dazu gedacht, technische Produktbeanstandungen oder unerwünschte Ereignisse zu melden oder technische Unterstützung anzufordern. Wenn Sie in Bezug auf einen dieser Punkte Hilfe benötigen, besuchen Sie bitte https://www.bayer.com/en/contact-us, sodass Bayer diese Meldungen zeitnah berücksichtigen kann.

Meldevoraussetzungen und Rechtslage

Sicherheitsforscher müssen sich während des gesamten Forschungs- und Offenlegungsprozesses an die nachstehend aufgeführten Voraussetzungen halten. Wir willigen in die Zusammenarbeit mit Personen ein, die:

  1. sicherstellen, dass die Meldungen keine sensiblen Informationen enthalten, wie z. B. Gesundheitsdaten von Patienten (PHI – Patient Health Information) oder personenbezogene identifizierbare Informationen (PII – Personally Identifiable Information);
  2. keine Forschungen oder Tests mit Bayer-Produkten, von Serviceleistungen oder an IT-Infrastrukturen durchführen, die zu einer Schädigung von Menschen oder Eigentum führen oder beitragen könnten;
  3. es vermeiden, Produkte in klinischen Umgebungen oder anderen aktiven Umgebungen zu erforschen oder zu testen, in denen diese Produkte zur Diagnose, Behandlung, Pflege oder Überwachung von Patienten verwendet werden könnten;
  4. Produkte oder Systeme testen, ohne dass Kunden, Service oder Verfügbarkeit beeinträchtigt werden, oder die eine schriftliche Erlaubnis/Einwilligung des Eigentümers des Bayer-Produkts einholen, bevor sie Forschungs- oder Testaktivitäten mit diesen Geräten, Software, IT-Infrastruktur usw. beginnen;
  5. die für sie und ihren Standort geltenden Gesetze und Vorschriften sowie die für Bayer-Produkte, -Serviceleistungen oder -Geschäfte relevanten Rechtsordnungen einhalten;
  6. eine Schwachstelle nicht ausnutzen, um unverhältnismäßige Maßnahmen zu ergreifen, wie z. B. das Ausnutzen einer Schwachstelle über das hinaus, was verhältnismäßig ist, um deren Existenz zu beweisen, das Ändern oder Löschen von Daten im System, das Kopieren sensibler Daten aus dem System oder die anderweitige Erweiterung um weitere Schwachstellen;
  7. nicht außerhalb des Geltungsbereichs dieser koordinierten Richtlinie zur Offenlegung von Schwachstellen arbeiten;
  8. uns Einzelheiten zu vergangenen oder geplanten Mitteilungen an Aufsichtsbehörden oder andere Dritte über entdeckte Schwachstellen zur Verfügung stellen;
  9. nach den für sie und für Bayer geltenden Arbeitsgesetzen die Möglichkeit haben, die von ihnen ergriffenen Maßnahmen freiwillig zu ergreifen, ohne dass ein Auftrag oder ein Anspruch auf eine Beschäftigung oder eine dienstbezogene Vergütung besteht.

WICHTIG: Zusätzlich zu den oben beschriebenen Punkten empfehlen wir Ihnen, sich mit Bayer abzustimmen, um Termine für die Veröffentlichung von Informationen über entdeckte Schwachstellen zu wählen. Wir bitten Sie, keine Einzelheiten zu Schwachstellen vor Ablauf dieses gemeinsam vereinbarten Zeitraums an die Öffentlichkeit weiterzugeben. Bitte informieren Sie uns über Ihre Offenlegungspläne vor einer Offenlegung.

 

So melden Sie eine Schwachstelle

Wenn Sie eine Schwachstelle oder ein anderes identifiziertes Cyber-Sicherheitsproblem im Zusammenhang mit Bayer-Produkten, -Serviceleistungen oder -IT-Infrastrukturen melden möchten, senden Sie bitte eine E-Mail an CVD@bayer.com

Wenn Sie eine Schwachstelle oder ein anderes identifiziertes Cybersicherheitsproblem im Zusammenhang mit Bayer-Produkten, -Dienstleistungen oder -IT-Infrastrukturen innerhalb Chinas melden möchten, senden Sie bitte eine E-Mail an CHINA_CVD@bayer.com.

 

Meldepräferenzen, Priorisierung und Akzeptanzkriterien

Wir werden folgende Kriterien anwenden, um Meldungen zu priorisieren und auszuwählen:

  • Verständlich geschriebene Meldungen in englischer Sprache haben eine höhere Chance auf Berücksichtigung;
  • Bitte geben Sie uns Kontaktinformationen wie Organisation und Name des Ansprechpartners/bevorzugte Kontaktmethode an, damit wir uns mit Ihnen über Ihre Ergebnisse  austauschen können;
  • Die Namen der Personen, von denen bekannt ist oder vermutet wird, dass sie Kenntnis von diesen Erkenntnissen haben;
  • Detaillierte Informationen über das/die getestete(n) Produkt(e), Serviceleistung(en) oder Infrastruktur.
    • Bitte geben Sie folgende Informationen an: das getestete Produkt, einschließlich Produktname und Versionsnummer; die getestete technische IT-Infrastruktur, einschließlich Betriebssystem und Version; und alle relevanten Zusatzinformationen, wie zum Beispiel Einzelheiten zur Netzwerkkonfiguration.
    • Bei Websites und anderen webbasierten Lösungen geben Sie bitte Folgendes an: Datum und Uhrzeit des Tests, URLs, Browsertyp und -version sowie die in die Anwendung eingegebenen Daten;
  • Bitte geben Sie uns eine technische Beschreibung der Schwachstelle, einschließlich der Art und Weise, wie sie entdeckt wurde, der potenziellen Auswirkungen, wenn sie ausgenutzt wird, und der vorgeschlagenen Abhilfemaßnahmen zur Steigerung der Effizienz der Interaktionen;
  • Bitte geben Sie alle zusätzlichen relevanten Informationen zu den durchgeführten Untersuchungen oder Tests an (zum Beispiel verwendete Tools, relevante Testkonfigurationen, Schätzungen der Auswirkungen und des Schweregrads, Bewertung des Umfangs usw.).
    • Meldungen, die Proof-of-Concept-Code enthalten, ermöglichen uns eine bessere fachliche Bewertung
  • Geben Sie das Ziel der Offenlegung gegenüber Bayer und/oder die Absicht der öffentlichen Offenlegung an, falls vorhanden;
  • Meldungen, die nur Crash Dumps oder andere automatische Tool-Ausgaben enthalten, können eine niedrigere Priorität erhalten;
  • Meldungen über Produkte, die nicht in den Geltungsbereich dieser Erklärung fallen, können eine niedrigere Priorität erhalten.

  • Bayer bestätigt den Empfang Ihrer Meldung innerhalb von 3 Arbeitstagen;
  • Bayer vergibt eine eindeutige Tracking-Nummer für Ihre Meldung;
  • Während der anfänglichen Untersuchungs- und Bewertungsphase kann sich ein Mitglied des Bayer-Sicherheitsteams mit Ihnen in Verbindung setzen, um zusätzliche Informationen anzufordern; 
  • Sobald wir genügend Informationen zusammen getragen haben, werden wir:
    • die gemeldete Schwachstelle und ihre mögliche Auswirkung überprüfen
    • die Meldung weiter beurteilen und mit den zuständigen Sicherheitsteams untersuchen
    • an der Eindämmung/Abhilfe gemäß unseren etablierten Prozessen arbeiten
  • Während des gesamten Prozesses der Schwachstellenbearbeitung hält Bayer Sie über den Status Ihrer Meldung auf dem Laufenden, einschließlich aller wichtigen neuen Informationen, mit klaren Erwartungen an den Zeitplan sowie über Probleme oder Herausforderungen, die den Zeitplan verlängern könnten;
  • Bayer wird einen offenen Dialog führen, um Fragen zu diskutieren;
  • Bayer wird die bestehenden Kundenbenachrichtigungsprozesse nutzen, um die Freigabe von Updates zur Behebung der Schwachstelle zu verwalten, was eine direkte Kundenbenachrichtigung und/oder die Veröffentlichung eines öffentlichen Hinweises beinhalten kann;
  • Bayer wird die Bemühungen des Sicherheitsforschers auf Wunsch und nach Überprüfung, Validierung und Behebung der Schwachstelle in unserer „Hall of Fame“ öffentlich anerkennen.

Wenn wir nicht in der Lage sein sollten, Kommunikationsfragen oder andere Probleme zu lösen, kann Bayer eine neutrale dritte Partei (wie DHS CISA oder andere relevante Agenturen oder Regulierungsbehörden) bitten, bei der Lösung zu helfen.

Dieses Dokument in Version 1.0 wurde am 10. August 2021 erstellt. Diese Richtlinie wird regelmäßig aktualisiert oder erneuert.

Hinweis:
Sie erklären sich damit einverstanden, dass alle Informationen, die Sie freiwillig an Bayer weitergeben, als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet werden. Und Sie sind sich darüber im Klaren, dass Bayer diese Informationen auf jede Weise, vollständig oder teilweise, ohne jegliche Einschränkung verwenden darf. Darüber hinaus erklären Sie sich damit einverstanden, dass die Übermittlung von Informationen keinerlei Rechte für Sie oder Verpflichtungen für Bayer begründet.