Vul­nera­bi­li­ty Dis­clo­sure Policy

1. Einleitung

IT-Sicherheit ist zentraler Bestandteil der strategischen Ausrichtung der IT von Quantum. Quantum legt größten Wert darauf die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen stets sicherzustellen. Unsere IT-Sicherheit befindet sich angesichts der dynamischen Bedrohungslage in einem kontinuierlichen Verbesserungsprozess. Dennoch können Schwachstellen auftreten oder vorhanden sein.

Wir möchten hiermit unabhängige Sicherheitsforscherinnen und Sicherheitsforscher dazu ermutigen Schwachstellen gemäß der hier vorliegenden Policy gegenüber Quantum offen zu legen.

Wir werden Ihren Bericht vertraulich behandeln und Sie über den Bearbeitungsstand informiert halten. Wir verpflichten uns bei einer Schwachstellenmeldung mit Ihnen zu kooperieren und gemeldete valide Schwachstellen so schnell wie möglich zu schließen.


1.1 Geltungsbereich

Der Geltungsbereich der vorliegenden Richtlinie erstreckt sich auf die gesamte Quantum Gruppe.

2. Leitlinien

  • Informieren Sie uns bitte unverzüglich, wenn Sie mögliche Schwachstellen entdecken.
  • Bitte verwenden Sie keine nicht-qualifizierten Testmethoden.
  • Bitte räumen Sie uns eine angemessene Zeit zur Behebung der Schwachstelle ein, bevor Sie diese öffentlich oder anderweitig bekanntgeben.


Folgende Testmethoden sind nicht für eine Schwachstellenmeldung qualifiziert:

  • Denial of Service (DoS, DDoS) oder andere Tests, die den Zugriff auf Systeme oder Daten beeinträchtigen oder Systeme oder Daten von Quantum beschädigen
  • Physische Tests (z. B. Zugang zu den Büros), Social Engineering oder andere nicht-technische Methoden

3. Meldung einer Schwachstelle

Wir bitten Sie Schwachstellen per Mail an vdp@quantum.ag zu melden. Berichte von automatisierten Tools oder Scans ohne weiterführende Erläuterungen qualifizieren nicht zur Schwachstellenmeldung.

Folgende Angaben sollten enthalten sein:

  • Bezeichnung der Schwachstelle
  • Welches System/ Dienst/ Anwendung ist betroffen?
  • Exploitationtechnik
  • Technische Details und Beschreibung der Schwachstelle
  • Empfehlung zur Schließung der Schwachstelle