Vulnerability Disclosure Policy

Diese Policy beschreibt, wie die NursIT Institute GmbH mit Schwachstellenmeldungen umgeht und welche Erwartungen an Sicherheitsforscherinnen und Sicherheitsforscher wir damit verbinden. Sie ergänzt die Security-Übersichtsseite um konkrete Verfahrens- und Rahmenbedingungen.

Die Policy ist an etablierte Standards angelehnt, insbesondere an die Coordinated-Vulnerability-Disclosure-Richtlinie des BSI, an ISO/IEC 29147 sowie an disclose.io.

1. Grundsatz

Wir begrüßen und fördern verantwortungsvolle Sicherheitsforschung an unseren Systemen und Produkten. Wer uns Schwachstellen meldet, leistet einen wertvollen Beitrag zur Sicherheit unserer Plattform und damit zur Sicherheit von Patientendaten. Wir verpflichten uns, Meldungen vertraulich zu behandeln, koordiniert zu beheben und Forschende fair zu behandeln.

2. Geltungsbereich

IM GELTUNGSBEREICH

• die öffentlich erreichbaren Webseiten und Dienste der NursIT Institute GmbH unter nursit-institute.com, nursit-institute.de, nursit.de
• alle Demo-, Test- und Sandbox-Umgebungen unter *.careit.one
• öffentlich erreichbare APIs (REST/FHIR), die wir bereitstellen
• mobile Anwendungen, die wir unter unserem Namen veröffentlichen

NICHT IM GELTUNGSBEREICH

• Produktiv-Installationen von CareIT Pro bei unseren Kunden in den jeweiligen Krankenhäusern. Diese Instanzen werden nicht öffentlich betrieben und unterliegen dem Sicherheitsregime der jeweiligen Klinik. Falls Sie hier einen Befund haben, bitten wir Sie, das jeweilige Krankenhaus zu kontaktieren.
• Drittprodukte, die wir einsetzen, aber nicht selbst entwickeln (z. B. Cloud-Provider, Identity-Provider, Smile CDR als zugekaufter FHIR-Server). Befunde bitte direkt an den jeweiligen Hersteller.
• Frühere oder nicht mehr von uns betriebene Systeme.

ERLAUBTE TESTS

• Manuelle und automatisierte Sicherheitsanalyse, soweit sie den Betrieb nicht stört.
• Identifikation und Validierung von Schwachstellen mit minimal nötigem Aufwand.
• Reproduktion eines Befunds mit Test-Accounts oder synthetischen Daten.

NICHT ERLAUBTE TESTS

• Denial-of-Service-Angriffe (DoS/DDoS), bewusste Verlangsamung oder Lasterzeugung über die normale Nutzung hinaus.
• Auslesen oder Veränderung personenbezogener Daten oder anderer Daten Dritter über das nötige Minimum hinaus.
• Persistente oder destruktive Aktionen (Datenlöschung, Datenmanipulation, Defacement).
• Phishing, Social Engineering gegen Mitarbeiterinnen und Mitarbeiter, Kunden oder Partner.
• Physische Angriffe gegen unsere Standorte oder die unserer Kunden.
• Umgehung von Schutzmaßnahmen Dritter (z. B. Cloudflare WAF, CDN-Provider) durch Mittel, die diese Dritten ihrerseits verbieten.

3. Safe Harbor

Wir betrachten Sicherheitsforschung, die im Rahmen dieser Policy in gutem Glauben durchgeführt wird, als ausdrücklich autorisiert. Konkret:

• Wir werden gegen Forschende, die diese Policy einhalten, keine zivil- oder strafrechtlichen Schritte einleiten und werden Dritte nicht zu solchen Schritten ermutigen.
• Soweit die Tätigkeit eines Forschers oder einer Forscherin nach geltendem Recht (z. B. §§ 202a, 303a, 303b StGB) grundsätzlich tatbestandsmäßig sein könnte, sehen wir bei Einhaltung dieser Policy von einer Strafanzeige ab.
• Wir bemühen uns, bei behördlichen Anfragen, in denen sich Dritte auf Aktivitäten unter dieser Policy beziehen, eine klärende Stellungnahme zu unseren Gunsten und zu Gunsten der Forschenden abzugeben.

Diese Zusage gilt nicht für:

• Verstöße gegen die unter „Nicht erlaubte Tests“ aufgeführten Punkte.
• Verstöße gegen geltendes Recht im jeweils anwendbaren Rechtsraum, soweit diese Verstöße nicht im legitimen Zuge der Forschungstätigkeit unvermeidlich sind.
• Forderungen Dritter, deren Systeme nicht in unserem Geltungsbereich liegen und deren Rechte verletzt wurden.

Diese Safe-Harbor-Klausel ist eine Selbstverpflichtung der NursIT Institute GmbH. Sie ersetzt keine Rechtsberatung und ist nicht als juristisch verbindliche Vereinbarung zu verstehen, die etwa Strafverfolgungsbehörden binden würde. Im Zweifel empfehlen wir Forschenden, sich vor sensitiven Tests mit uns in Verbindung zu setzen.

4. Meldeprozess

EMPFOHLENER WEG

• E-Mail an security@nursit-institute.com.
• Bitte übermitteln Sie keine über das Nötige hinausgehenden personenbezogenen Daten. Falls Ihre Meldung besonders sensible Informationen enthält, weisen Sie uns bitte vorab darauf hin, damit wir gemeinsam einen geeigneten Übermittlungsweg abstimmen können.

INHALT EINER MELDUNG

Hilfreich sind:

• Eine Zusammenfassung des Befunds (1 bis 3 Sätze).
• Betroffene URL, Komponente oder API-Endpunkt.
• Schritte zur Reproduktion.
• Beobachtetes Verhalten und (falls bekannt) wahrscheinliche technische Ursache.
• Mögliche Auswirkungen.
• Vorschlag zur Behebung, soweit Sie einen haben.
• Ihre Kontaktdaten und gewünschte Form der Anerkennung.

ZEITLICHER ABLAUF

ESKALATION

Sollten Sie innerhalb der oben genannten Reaktionszeiten keine Rückmeldung von uns erhalten oder den weiteren Verlauf nicht zufriedenstellend bewerten, können Sie das BSI (CERT-Bund) im Rahmen seines CVD-Verfahrens einschalten. Wir betrachten eine solche Eskalation nicht als Verstoß gegen diese Policy.

5. Anerkennung

Wir freuen uns, Sicherheitsforscherinnen und -forschern, die uns Befunde gemeldet haben, öffentlich zu danken:

• Erwähnung in unserer Hall of Fame, sofern gewünscht.
• Persönliches Dankesschreiben.
• Auf Anfrage und im Einzelfall: Empfehlung in unserer Branchen-Community.

Falls Sie keine namentliche Erwähnung möchten, respektieren wir das. Geben Sie uns das in der Meldung bitte mit.

6. Bug-Bounty

Wir betreiben aktuell kein Bug-Bounty-Programm und können Meldungen leider nicht finanziell vergüten. Wir prüfen die Einführung eines solchen Programms im Zuge der Weiterentwicklung unseres Sicherheitsprozesses. Aktuelle Anerkennung erfolgt ausschließlich in den unter „Anerkennung“ beschriebenen Formen.

7. Vertraulichkeit

• Wir behandeln eingehende Meldungen vertraulich und teilen sie ausschließlich mit den intern an der Behebung beteiligten Personen.
• Wir geben Ihre Kontaktdaten nicht an Dritte weiter, ohne Ihre ausdrückliche Zustimmung, sofern wir nicht durch Gesetz oder behördliche Anordnung dazu verpflichtet sind.
• Wenn die Schwachstelle Drittsysteme betrifft (z. B. Zulieferer, Integrationspartner), informieren wir den Drittanbieter im Rahmen unserer CVD-Praxis. Wir bemühen uns, Ihre Identität dabei zu schützen, sofern Sie das wünschen.

8. Geltendes Recht und Gerichtsstand

Diese Policy unterliegt deutschem Recht. Gerichtsstand für Streitigkeiten ist, sofern gesetzlich zulässig, der Sitz der NursIT Institute GmbH.

9. Änderungen

Wir behalten uns vor, diese Policy zu ändern. Änderungen werden auf dieser Seite mit Datum versehen veröffentlicht. Maßgeblich ist die jeweils zum Zeitpunkt Ihrer Meldung veröffentlichte Fassung.