Bitte beachte: Du verwendest einen veralteten Browser, was bedeutet, dass die von dir besuchten Seiten möglicherweise nicht wie vorgesehen funktionieren. Aktualisiere deinen Browser für einen besseren, schnelleren und sichereren Besuch der Efteling-Webseite.

Responsible Disclosure

Wie kann ich eine Schwachstelle in einem IT-System von Efteling melden (Responsible Disclosure)?

Bei Efteling legen wir großen Wert auf die Sicherheit unserer Systeme. Trotz unserer Sorgfalt bei der Sicherung unserer Systeme kann es vorkommen, dass es eine Schwachstelle gibt. Wenn du eine Schwachstelle in einem unserer Systeme gefunden hast, möchten wir dies gerne erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir möchten gerne mit dir zusammenarbeiten, um unsere Systeme und die Daten unserer Gäste besser schützen zu können.
 
Unsere Politik der verantwortungsvollen Offenlegung ist keine Aufforderung, unser Unternehmensnetzwerk aktiv und umfassend nach Schwachstellen zu durchsuchen. Wir überwachen unser Netzwerk selbst. Dadurch ist es sehr wahrscheinlich, dass ein Scan entdeckt wird, unser Security Operation Centre (SOC) ihn untersucht und möglicherweise unnötige Kosten entstehen.
 
Du kannst uns eine Schwachstelle in einem Efteling-IT-System unter der E-Mail-Adresse cybersecurity@efteling.com melden.


Worauf sollte man bei Responsible Disclosure achten?

Wenn du eine Schwachstelle in unserem IT-System meldest, beachte bitte folgende Punkte:

  • Teile genügend Informationen mit, um das Problem zu reproduzieren. So können wir das Problem so schnell wie möglich beheben. In der Regel reicht die IP-Adresse oder die URL (Link) des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus. Bei komplizierteren Sicherheitslücken sind möglicherweise mehr Informationen erforderlich.
  • Hinterlasse deine Kontaktdaten (E-Mail-Adresse und/oder Telefonnummer), damit wir dich kontaktieren können.
  • Schicke uns deine Meldung so schnell wie möglich nach Entdeckung der Sicherheitslücke.
  • Gebe keine Informationen über das Sicherheitsproblem an andere weiter, bis es behoben ist.
  • Gehe verantwortungsvoll mit dem Wissen über das Sicherheitsproblem um. Ergreife keine Maßnahmen, die über das hinausgehen, was zur Beschreibung des Sicherheitsproblems erforderlich ist.
  • Du musst alle vertraulichen Daten, die du bei deinen Nachforschungen erhalten hast, sofort löschen, nachdem wir die Sicherheitslücke behoben haben.

Missbrauche keine Schwachstelle unseres IT-Systems

Wenn du eine Sicherheitslücke findest, nutze sie nicht aus. Zum Beispiel durch:

  • das Installieren von Malware;
  • das Kopieren, Ändern oder Löschen von Daten in einem System (eine Alternative dazu ist die Erstellung einer Verzeichnisliste eines Systems);
  • das Vornehmen von Änderungen am System;
  • das wiederholte Erhalten vom Zugang zum System oder das Teilen des Zugangs mit anderen;
  • die Anwendung des sogenannten „Brute-Forcing“ des Zugangs zu Systemen;
  • den Einsatz von „Denial-of-Service“ oder „Social Engineering“.

Was du von uns erwarten kannst

Hast du eine Schwachstelle in unserem IT-System gemeldet? Dank deiner Meldung können wir verhindern, dass wichtige Informationen in die falschen Hände geraten oder für unzulässige oder strafbare Handlungen verwendet werden.
 
Wir werden deine Meldung vertraulich behandeln. Wir geben personenbezogene Daten nicht ohne deine Zustimmung an Dritte weiter, es sei denn, dies ist gesetzlich vorgeschrieben oder gerichtlich angeordnet. Wir werden dich über die Bearbeitung deiner Meldung auf dem Laufenden halten.

  • Wir beantworten deine Meldung inhaltlich innerhalb von fünf Werktagen einschließlich des voraussichtlichen Lösungstermins. Selbstverständlich werden wir dich auch danach regelmäßig über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten.
  • Wir schließen die Sicherheitslücke so schnell wie möglich. Auch hier spielt die Verhältnismäßigkeit eine wichtige Rolle: Der Zeitrahmen für die Behebung einer Sicherheitslücke hängt von mehreren Faktoren ab, unter anderem von der Schwere und Komplexität der Sicherheitslücke.
  • Wenn du dich an das oben Genannte hältst, werden wir keine rechtlichen Schritte gegen dich im Zusammenhang mit deiner Meldung einleiten.
  • Für deine Hilfe beim besseren Schutz unserer Systeme möchten wir uns bei dir für das Melden einer uns bisher unbekannten Sicherheitslücke bedanken. Unser Dankeschön hängt von der Schwere der Sicherheitslücke und der Qualität der Meldung ab und reicht daher von einem Schlüsselanhänger bis hin zu Freikarten für den Park.
  • Falls du eine Schwachstelle in einer Software findest, die wir verwenden, die aber von einer anderen Partei hergestellt wurde, und diese Schwachstelle unter ein „Bug Bounty Programm“ fällt, gehört die Prämie dafür natürlich dir.

Leitlinien Responsible Disclosure

Bei der Erstellung dieser Responsible Disclosure haben wir die Leitlinien für Responsible Disclosure der niederländischen Regierung verwendet.

Mach mit und gewinne eine Efteling Geschenkkarte im Wert von 50 €!

Wenn du uns deine E-Mail-Adresse gibst, bekommst du 1 bis 2 Mal im Monat die aktuellsten Neuigkeiten und Angebote.  Außerdem erhältst du gratis ein persönliches Video und wir verlosen jede Monat einen Efteling-Gutschein im Wert von 50 €!

Durch Klicken auf "Anmelden" meldest du dich für den Efteling-Newsletter an und erklärst dich mit der Datenschutzerklärung einverstanden.