Richtlinie zur Schwachstellenoffenlegung

Einführung

JLL fühlt sich verpflichtet, partnerschaftlich mit unseren Kunden zusammenzuarbeiten, um einen transparenten Ansatz bei Unternehmensimmobilien zu verfolgen. Dieser Ansatz umfasst die Sicherung unserer Unternehmenssysteme und den Schutz der Daten, die uns von unseren Kunden und Partnern anvertraut werden. Diese Richtlinie soll Sicherheitsforschern als eindeutige Anleitung bei Schwachstellenermittlungsaktivitäten dienen und unsere Vorstellungen hinsichtlich der Übermittlung gefundener Schwachstellen darstellen.

Beachten Sie, dass JLL kein Bug Bounty-Programm betreibt. Durch das Übermitteln einer Schwachstelle erkennen Sie an, dass mit dieser Übermittlung keine Zahlungserwartungen verbunden sind und dass Sie ausdrücklich auf künftige Zahlungsforderungen gegen JLL in Bezug auf Ihre Übermittlung verzichten.

In dieser Richtlinie wird beschrieben, welche Systeme und Recherchetypen unter diese Richtlinie fallen, wie Schwachstellenberichte an uns zu übermitteln sind und wie lange Sicherheitsforscher abwarten sollen, bevor sie Schwachstellen öffentlich bekannt machen.

Wir bitten Sie, sich bei Erkenntnissen zu potenziellen Schwachstellen in unseren Systemen Kontakt mit uns aufzunehmen.

Autorisierung

Wenn Sie nach bestem Wissen und Gewissen bemüht sind, diese Richtlinie im Rahmen Ihrer Sicherheitsrechercheaktivitäten zu befolgen, werden wir Ihre Recherche als autorisiert betrachten. Wir werden mit Ihnen zusammenarbeiten, um auftretende Probleme zu verstehen und schnell zu beheben, und JLL wird keine rechtlichen Schritte in Bezug auf Ihre Recherche empfehlen oder einleiten. Sollten aufgrund Ihrer Aktivitäten rechtliche Schritte durch einen Dritten gegen Sie eingeleitet werden, die gemäß dieser Richtlinie erfolgten, werden wir diese Autorisierung öffentlich machen.

Anleitungen

Unter dieser Richtlinie bezieht sich der Begriff „Recherche“ auf Aktivitäten, bei denen Sie verpflichtet sind:

  • uns schnellstmöglich zu informieren, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem ermittelt haben.
  • alle erforderlichen Schritte einzuleiten, um zu verhindern, dass es zur Verletzung personenbezogener Daten, zu einer Verschlechterung der Benutzererfahrung, einer Unterbrechung von Produktionssystemen und der Zerstörung oder Manipulation von Daten kommt.
  • Exploits nur im absolut notwendigen Maß zu verwenden, um das Vorhandensein einer Schwachstelle zu bestätigen. Exploits dürfen nicht verwendet werden, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften Zugriff auf die Befehlszeile einzurichten oder um eine Umleitung auf andere Systeme einzurichten.
  • uns ausreichend Zeit zur Lösung eines Problems einzuräumen, bevor Sie es öffentlich bekannt machen.
  • auf die Übermittlung zahlreicher Berichte mit geringer Qualität zu verzichten.

Sobald Sie festgestellt haben, dass eine Schwachstelle vorhanden ist, oder erkannt haben, dass vertrauliche Daten öffentlich zugänglich sind (darunter personenbezogene Daten, Finanz- und/oder Eigentumsdaten oder Handelsgeheimnisse einer beliebigen Partei), sind Sie verpflichtet, Ihren Test zu unterbrechen und uns umgehend zu benachrichtigen. Außerdem dürfen Sie unter keinen Umständen Daten an andere Personen weitergeben.

Testverfahren

Die folgenden Testverfahren dürfen nicht angewendet werden:

  • Network Denial of Service (DoS or DDoS)-Tests oder andere Tests, die den Zugriff auf ein System oder auf Daten beeinträchtigen oder ein System oder Daten beschädigen.
  • Physische Tests (z. B. Gebäudezugang, offene Türen, Tailgating), Social Engineering (z. B. Phishing, Vishing) oder andere nicht technische Schwachstellentests.
Umfang

Diese Richtlinie gilt ausschließlich für vollständig im Eigentum von JLL befindliche und vollständig von JLL verwaltete Systeme und Dienstleistungen.

Sämtliche Dienstleistungen, die oben nicht ausdrücklich genannt sind, darunter alle verbundenen Dienstleistungen, sind aus diesem Umfang ausgeschlossen und dürfen nicht getestet werden. Auch auf Systemen unserer Lieferanten erkannte Schwachstellen sind nicht Bestandteil dieser Richtlinie und müssen daher direkt und auf Basis der jeweiligen Veröffentlichungsrichtlinien (falls vorhanden) an den Lieferanten gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System im Umfang enthalten ist, schreiben Sie uns eine E-Mail an vulndisclosure@jll.com.

Obwohl wir unter Umständen bereit sind, Unterstützung bei der Entwicklung und Wartung anderer internetbasierter Systeme oder Dienstleistungen zu leisten, bitten wir Sie, die aktive Recherche- und Testaktivitäten auf die von dieser Richtlinie abgedeckten Systeme und Dienstleistungen zu beschränken. Sollte ein bestimmtes System nicht im Umfang sein, das Ihrer Meinung jedoch getestet werden sollte, nehmen Sie bitte Kontakt mit uns auf, um den Sachverhalt vor Testbeginn mit uns zu besprechen. Wir werden den Umfang dieser Richtlinie im Laufe der Zeit neu bewerten.

Informationen, die im Rahmen dieser Richtlinie übermittelt werden, werden ausschließlich für Abwehrzwecke verwendet, also um Schwachstellen abzuschwächen oder zu entfernen. Sollten Ihre Erkenntnisse neu gefundene Schwachstellen beinhalten, die sich auf alle Benutzer eines Produkts oder einer Dienstleistung und nicht ausschließlich auf JLL auswirken, behalten wir uns vor, Ihren Bericht an die zuständige Behörde für Cybersicherheit und Infrastruktursicherheit weiterzugeben, bei der Ihr Bericht den dort eingeführten koordinierten Prozess zur Offenlegung von Schwachstellen durchlaufen wird. Ohne Ihre ausdrückliche Zustimmung werden wir Ihren Namen und Ihre Kontaktinformationen nicht weitergeben.

Wir nehmen Ihre Schwachstellenberichte unter der E-Mail-Adresse vulndisclosure@jll.com an. Berichte können anonym übermittelt werden. Wenn Sie Ihre Kontaktinformationen hinterlassen, bestätigen wir innerhalb von drei Werktagen den Eingang Ihres Berichts.

Über PGP verschlüsselte E-Mails werden nicht akzeptiert.

Was wir gerne von Ihnen sehen würden

Zur Unterstützung beim Sichten und Priorisieren Ihrer Einsendungen möchten wir in Bezug auf Ihre Berichte Folgendes empfehlen:

  • Beschreiben Sie den Ort der gefundenen Schwachstelle sowie die potenzielle Wirkung der Ausnutzung.
  • Übermitteln Sie eine detaillierte Beschreibung der Schritte, die erforderlich sind, um die Schwachstelle zu reproduzieren (Skripte oder Screenshots zum Wirksamkeitsnachweis sind hilfreich).
  • Formulieren Sie Ihre nach Möglichkeit in englischer Sprache.
Was Sie von uns erwarten können

Wenn Sie sich dazu entscheiden, uns Ihre Kontaktinformationen mitzuteilen, verpflichten wir uns, so offen und schnell wie möglich mit Ihnen zu kommunizieren.

  • Wir werden Ihnen innerhalb von drei Werktagen den Eingang Ihres Berichts bestätigen.
  • Wir werden im Rahmen unserer Möglichkeiten versuchen, Ihnen gegenüber das Vorhandensein der Schwachstelle zu bestätigen und Ihnen so transparent wie möglich mitzuteilen, welche Schritte wir im Rahmen der Behebung unternehmen, einschließlich der Probleme oder Herausforderungen, die eine Lösung verzögern.
  • Wir werden einen offenen Dialog mit Ihnen führen, um Probleme zu besprechen.
Fragen

Sollten Sie Fragen zu dieser Richtlinie haben, senden Sie diese bitte an die E-Mail-Adresse vulndisclosure@jll.com. Außerdem laden wir Sie ein, uns zu kontaktieren, wenn Sie Vorschläge zur Verbesserung dieser Richtlinie haben.