Hinweise auf Schwachstellen: IHK-BugBounty-Programm

Die IHK für München und Oberbayern setzt eine ganze Reihe von digitalen Services ein. Sicherheit der Daten und Prozesse hat dabei höchste Priorität. Trotzdem können diese digitalen Services Schwachstellen enthalten, die der IHK für München und Oberbayern noch nicht bekannt sind.
Daher sind wir sehr dankbar für Hinweise auf Schwachstellen!

Hierbei ist zu beachten: Bei der Suche nach Schwachstellen kann es sich ggf. um eine Straftat handeln. Daher bitten wir Sie, die folgenden Regeln zu beachten.

Übersicht über das IHK-BugBounty-Programm

1. Was ist das IHK-BugBounty Programm?

"BugBounty Programme" sind ein wichtiges Instrument zur Verbesserung der Sicherheit von digitalen Services, da sie eine Gemeinschaft von "ethischen Hackern" oder Sicherheitsforschern fördern, die dazu beitragen, potenzielle Schwachstellen aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Das "IHK-BugBounty Programm" ist eine Initiative der IHK für München und Oberbayern, um Personen zu belohnen, die Fehler, Sicherheitslücken oder "Bugs" in digitalen Services der IHK aufdecken und melden. Der Ausdruck "Bug Bounty" kommt aus dem Englischen und bedeutet wörtlich übersetzt "Kopfgeld für Fehler".

Die Belohnung, das sogenannte "Bounty", variiert auf der Grundlage der Schwere und der Art des aufgedeckten Fehlers.

Am IHK-BugBounty Programm, das ist Juni 2023 gestartet ist, kann jeder teilnehmen, der sich an die hier genannten Regeln hält.

2. Welche digitalen Services umfasst das BugBounty Programm?

Folgende Domains (inkl. ggf. vorhandener Subdomains) sind relevant für das BugBounty Programm der IHK für München und Oberbayern:

ausbilderfit.de
ausbilder-fit.de
aussenwirtschaftstagbayern.de
aussenwirtschaftstag-bayern.de
frauen-in-der-bayerischen-wirtschaft.de
frauen-in-der-wirtschaft-bayern.de
gruendeninmuenchen.de
gruenden-in-muenchen.de
gruenden-in-oberbayern.de
gruendungswerkstatt-muenchen.de
ihkjobfit.de
ihkmuenchen.de
ihk-münchen.de
ihk-muenchen.de
ihknews-muenchen.de
ihkwahl-muenchen.de
ihkweiterbringer.de
ihk-weiterbringer.de
muenchen-ihk.de
münchen-ihk.de
muenchen.ihk.de
oberbayern-ihk.de
packmasdigital.de
pam-muenchen-ihk.de
uehi.de

Manche der genannten Domains leiten auf nicht von der IHK verantwortete Websites weiter. In diesem Fall umfasst das BugBounty-Programm nur die von der IHK verantwortete Domain, aber nicht die Onlineanwendung (z. B. basisbox.de).

Bitte beachten Sie, dass nicht in der obigen Liste enthalte digitale Services nicht Teil des BugBounty Programms sind. Ggf. kann eine IT-Sicherheitsuntersuchung solcher nicht genannter Services als rechtswidrig eingestuft und entsprechend geahndet werden.

3. Regeln für das das BugBounty Programm!

Um am BugBounty Programm teilzunehmen, gilt grundsätzlich:
Der IHK für München und Oberbayern darf durch die Tätigkeiten im Rahmen des BugBounty Programms kein Schaden entstehen.
Das bedeutet:

Beim Suchen nach Schwachstellen dürfen Verfügbarkeit, Vertraulichkeit und Integrität der Daten und Prozesse der IHK für München und Oberbayern nicht beeinträchtigt werden.
Bitte führen Sie daher keine Phishing-Mail-, DDoS-, Brute-Force-Tests o. ä. durch. Ändern Sie keine Daten.
Es dürfen keine Backdoors o.ä. eingebaut werden, die dauerhaften Zugriff ermöglichen.
Gefundene Schwachstellen werden erst veröffentlicht, wenn diese von der IHK für München und Oberbayern geschlossen wurden.

Des Weiteren gilt:

Nur die erstmalige Meldung einer Schwachstelle kommt für eine BugBounty-Auszahlung in Frage.
Aktuelle und ehemalige Mitarbeiter der IHK für München und Oberbayern sowie Dienstleister und Zulieferer können nicht am BugBounty Programm teilnehmen.
Die IHK legt den Auszahlungsbetrag fest (siehe 4.). Eine Auszahlung kann nur erfolgen, wenn der Teilnehmer am BugBounty-Programm der IHK eine entsprechende Rechnung und der geltenden Umsatzbesteuerung gerecht werdende Rechnung stellt.

4. So können Sie uns eine Schwachstellen-Meldung zukommen lassen

Bitte geben Sie uns im Falle einer Kontaktaufnahme folgende Informationen:

Exakte Domain an, auf welcher Sie die Schwachstelle gefunden haben
Möglichst viele Details zur Reproduktion der Schwachstelle, um uns die Analyse zu erleichtern und damit die Auszahlung der Belohnung zu beschleunigen. Z. B. IP-Nummer von der aus getestet wurde, Proof-Of-Concept-Skizzen.

Bitte kommunizieren Sie mit uns über E-Mails an bugbounty@muenchen.ihk.de

5. Was tut die IHK mit Meldungen von Schwachstellen?

Eine eingereichte Schwachstellenmeldung wird von der IHK für München und Oberbayern bewertet und in eine Kritikalitätsstufe eingeordnet. Maßstab hierbei ist das Gefahrenpotenzial.
Orientierung kann hier der „ Common Vulnerability Scoring System Calculator“ sein, mit dem Schwachstellenmeldungen in Kategorien eingeordnet werden können.

Schwachstelle-Einordnung	Niedrig	Mittel	Hoch	Kritisch
CVSS-Score	0.1 - 3.9	4.0 - 6.9	7.0 - 8.9	9.0 - 10.0
BugBounty (Nettobetrag vor Umsatzversteuerung)	bis 100 €	100 – 500 €	500 – 1.000 €	über 1.000 €

Hierbei sind für die IHK für München und Oberbayern insbesondere Schwachstellen interessant, die es Unberechtigten ermöglichen auf vertrauliche Daten zuzugreifen, diese zu ändern oder zu löschen.

Beispiele für relevante Schwachstellen finden sich z. B. bei OWASP wie z. B.

Nicht relevant im BugBounty Programm sind beispielweise:

Grundsätzliche Erreichbarkeit von digitalen Services
Phishing-Mails u. ä., insbesondere solche, in denen z. B. die Mailadressen der IHK für München und Oberbayern missbraucht werden
Schwachstellen ohne Nachweis einer Ausnutzbarkeit
Schwachstellen, die nur veraltete oder mit eingeschränkten Sicherheitsmerkmalen betriebene Browser betreffen
Von Scannern erzeugte Berichte, die keinen konkreten und komplett nachvollziehbaren Bezug zu einer Schwachstelle ermöglichen
Nicht eingesetzte Best-Practices in Headern, SSL/TLS, DNS

Information in English

Indications of Vulnerabilities: CCI BugBounty Program (IHK-BugBounty Programm)