Ein Sicherheitsproblem melden

 

Sicherheit ist uns wichtig

 

Uns ist die Sicherheit unserer Produkte sehr wichtig. Dazu verfügen wir über einen umfassenden Prozess für einen sicheren Softwareentwicklungs-Lebenszyklus sowie klare Qualitäts- und Sicherheitsstandards für die Softwareentwicklung. Dieser etablierte und dedizierte Prozess zur professionellen Reaktion auf Sicherheitsprobleme ist der sichtbare Beweis für unser Engagement.

Das ATOSS R&D-Team ist dafür verantwortlich, alle gemeldeten Sicherheitslücken zu untersuchen. Dabei arbeitet es eng mit den Personen, die die Lücken gemeldet haben, an der Bereitstellung von Patches.

ATOSS informiert die Kunden über die Patches und deren Relevanz. Da die Integrität und Sicherheit des Geschäftsbetriebs für alle Unternehmen in allen Branchen essentiell ist, setzt sich ATOSS als Anbieter von Business-Software bedingungslos dafür ein, in ihren Produkten die höchstmögliche Sicherheitsebene aufrechtzuerhalten. ATOSS unterstützt in diesem Kontext die verantwortungsbewusste Offenlegung von Sicherheitslücken.

Wenn Ihnen in einem unserer Softwareprodukte eine Sicherheitslücke aufgefallen ist – ob in der neuesten oder in einer älteren Produktversion – teilen Sie uns das bitte mit.

Geben Sie ATOSS genügend Zeit zur Entwicklung passender Korrekturen

Das Beheben von Sicherheitslücken kann langwierig und schwierig sein: Wir entwickeln einen Patch, stellen sicher, dass er mit allen relevanten Softwareversionen kompatibel ist, führen umfassende Tests durch, damit die Korrekturen ohne Nebenwirkungen und fehlerfrei laufen und stellen ihn unseren Kunden zur Verfügung. 

Als Anbieter von Business-Software bieten wir nicht nur für die neueste Version Sicherheitskorrekturen an, sondern auch für viele ältere Versionen unserer Softwareprodukte. Das bedeutet, dass wir brauchbare Patches für eine große Palette an Produktversionen entwickeln und gründlich testen müssen. Das braucht Zeit.

Veröffentlichen Sie keine Sicherheitslücken, bevor ATOSS Kunden Zeit hatten, Korrekturen bereitzustellen.

Die Bereitstellung von Patches für ATOSS Produkte ist üblicherweise komplexer als ein Software Upgrade auf einem Kunden-PC. Je nach Art der Sicherheitslücke sind für die Bereitstellung von Patches bzw. Updates in manchen Fällen Konfigurations- bzw. Bereitstellungsaufgaben hinsichtlich kundeninterner Beschränkungen oder Prozesse erforderlich. Einige unserer Kunden folgen beispielsweise regulären Patchzyklen. 

Unter Berücksichtigung dieser Umstände bitten wir alle Sicherheitsforscher, ATOSS Kunden genügend Zeit dafür zu geben, Patches in ihren Systemen zu implementieren. Als Faustregel schlagen wir vor, den Kunden eine Implementierungszeit von drei Monaten zuzugestehen, sobald der Patch von ATOSS freigegeben wurde. 

Mit Blick auf die Interessen unserer Kunden bitten wir alle Sicherheitsforscher, keine Informationen oder Tools in Umlauf zu bringen, die in diesem Zeitraum dazu beitragen könnten, die Sicherheitslücke auszunutzen. Bitte informieren Sie außerdem das R&D-Team mindestens drei Wochen im Voraus über alle Ihre zu veröffentlichenden Sicherheitshinweise und anstehenden externen Präsentationen mit Sicherheitsinhalt aus ATOSS Produkten in einer E-Mail an  security@atoss.com, einschließlich des voraussichtlichen Inhalts.

Wir bedanken uns für die Beachtung.

Kontakt aufnehmen
ATOSS R&D Sicherheitsprozess

R&D-Sicherheitsprozess

Laden Sie hier den kompletten ATOSS R&D-Sicherheitsprozess herunter

ATOSS R&D Sicherheitsprozess für ATOSS Staff Efficiency Suite und ATOSS Time Control

Crashtest Security Emplem