Sicherheitsbewertungen


Atlassian-Regeln für Sicherheitstests von Cloud-Produkten

Atlassian-Kunden können ohne vorherige Genehmigung Sicherheitsbewertungen ihrer Atlassian Cloud-Produkte (wie unten definiert) durchführen. Der Begriff "Sicherheitsbewertung" bezieht sich auf alle Aktivitäten, die dazu dienen, die Sicherheitsmerkmale und -kontrollen der Produkte und Services von Atlassian zu bestimmen, zu bewerten oder zu testen (z. B. Penetrationstests und Schwachstellen-Scans). Diese Seite legt die Regeln ("Regeln für Sicherheitstests") fest, die für Kunden gelten, die eine Sicherheitsbewertung ihrer Atlassian Cloud-Produkte durchführen möchten. Die Atlassian-Plattform zur Bereitstellung von Cloud-Produkten (die "Atlassian Cloud-Plattform") nutzt eine gemeinsame Infrastruktur, um deine Cloud-Produkte und die Cloud-Produkte anderer Kunden zu hosten. Es ist darauf zu achten, dass alle Sicherheitsbewertungen auf deine Cloud-Produkte oder -Instanzen beschränkt bleiben und unbeabsichtigte Auswirkungen auf andere Kunden vermieden werden.

Alle Sicherheitsbewertungen müssen die Atlassian-Regeln für Sicherheitstests einhalten, die auf dieser Seite ausführlich beschrieben sind. Die Verwendung deiner Cloud-Produkte unterliegt weiterhin den Nutzungsbedingungen für Atlassian Cloud sowie anderen geltender Bedingungen der Vereinbarung(en) (zusammenfasst als "Nutzungsbedingungen"), unter denen du die entsprechenden Cloud-Produkte erworben hast. Jeder Verstoß gegen diese Sicherheitstestregeln oder die entsprechenden Nutzungsbedingungen kann zur Aussetzung oder Kündigung deines Kontos und/oder zu rechtlichen Schritten gegen dich führen. Solltest du gegen die Sicherheitstestregeln oder die Nutzungsbedingungen verstoßen, bist du haftbar, wenn es zu negativen Auswirkungen auf Kundendaten bzw. die Nutzung der Atlassian Cloud-Plattform kommt.

Für Sicherheitsbewertungen geeignete Cloud-Produkte

Im Rahmen der Regeln für Sicherheitstests gelten folgende Produkte als "Cloud-Produkte":

  • Jira Software
  • Jira Service Desk
  • Jira Core
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • OpsGenie

Regeln für Sicherheitstests

Zulässige Aktivitäten

  • Sicherheitsbewertungen dürfen nur von Atlassian-Kunden durchgeführt werden, die die oben aufgeführten Cloud-Produkte abonniert haben. Beachte bitte, dass derzeit keine Sicherheitsbewertungen für Jira Align durchgeführt werden können.
  • Du darfst Sicherheitsbewertungen nur für deine eigenen Instanzen der Cloud-Produkte durchführen und musst dich an die Atlassian-Richtlinien für Sicherheitsbewertungen halten. Das umfasst auch diese Regeln zu Sicherheitstests.
  • Du darfst automatisierte Tools/Scanner verwenden, um Sicherheitsbewertungen durchzuführen. Denke aber daran, dass wir diese Tools ebenfalls verwenden. Alle Ergebnisse von automatisierten Scannern müssen vom Sicherheitsteam des Kunden überprüft und getestet werden, bevor sie mit einem funktionierenden, reproduzierbaren Proof of Concept an Atlassian weitergeleitet werden. Wir akzeptieren keine ungeprüften Ergebnisse von Sicherheitsscannern.

Unzulässige Aktivitäten

  • Scans und Tests von bzw. Zugriff auf Cloud-Produkte, Instanzen oder Assets, die dir nicht gehören, zum Beispiel die anderer Atlassian-Kunden
  • Absichtlicher Zugriff auf die Daten anderer Kunden (einschließlich des Zugriffs oder der Nutzung der Anmeldedaten anderer Kunden)
  • Nichttechnische Angriffe (wie zum Beispiel Social Engineering, Phishing oder der unerlaubte Zugriff auf Infrastrukturen)
  • Physische Sicherheitsangriffe (zum Beispiel auf Atlassian-Büros, -Geräte oder -Mitarbeiter)
  • Tests von anderen als den genannten Produkten
  • Tests der Atlassian-Unternehmensinfrastruktur
  • Denial of Service (DoS), Distributed Denial of Service (DDoS), simulierter DoS, simulierter DDoS
  • Port Flooding
  • Protocol Flooding
  • Request Flooding (Login Request Flooding, API Request Flooding)
  • Einreichen ungeprüfter Berichte von einem Schwachstellen-Scanner oder einer Sicherheitsbewertungsanwendung

Reporting Issues

Wenn du glaubst, auf eine mögliche Sicherheitslücke in Atlassian Cloud-Produkten oder in einem anderen Atlassian-Service gestoßen zu sein, melde dies bitte innerhalb von 24 Stunden. Gehe wie unter "Melden einer Schwachstelle" beschrieben vor. Du kannst deine Funde auch im Bug-Bounty-Programm melden. Beachte dabei aber, dass automatisierte Scannerfunde nicht akzeptiert werden. Möchtest du einen gemeldeten Fund öffentlich machen, musst du erst unsere Erlaubnis einholen, denn die Ergebnisse von Sicherheitsbewertungen gelten als vertrauliche Daten von Atlassian. Atlassian bearbeitet Offenlegungsanträge für jeden Bericht einzeln. Offenlegungsanträge für Probleme, die bei unseren Kunden noch nicht behoben wurden, werden grundsätzlich abgelehnt.

Weitere Bedingungen

Der absichtliche Zugriff auf die Daten anderer Atlassian-Kunden ist strengstens verboten. Solltest du aber unabsichtlich auf sensible Kundendaten (z. B. Login-Daten, API-Schlüssel usw.) gestoßen sein bzw. eine Möglichkeit gefunden haben, auf Kundendaten zuzugreifen (z. B. durch eine Schwachstelle), dann melde dies sofort dem Atlassian-Support. Versuche nicht, die Schwachstelle selbst zu überprüfen oder anderweitig auf das Konto oder die Daten eines Kunden zuzugreifen.

Zusätzlich zu Atlassians Befugnis, dein Konto zu sperren oder zu kündigen, wenn du gegen diese Sicherheitstestregeln verstößt, behält sich Atlassian das Recht vor, auf alle Aktivitäten in seinen Netzwerken zu reagieren, die böswillig erscheinen oder anderweitig eine Bedrohung darstellen. Atlassian setzt ggf. deine IP(s) bzw. deinen IP-Bereich auf eine Blacklist, wenn wir einen Missbrauchsbericht für Aktivitäten erhalten, die mit deiner Sicherheitsbeurteilung in Zusammenhang stehen. Wenn du dich an den Atlassian-Support wendest, um die Einschränkungen zu entfernen, gib bitte die Ursache der gemeldeten Aktivität an und beschreibe, was du unternommen hast, um zu verhindern, dass das gemeldete Problem wieder auftritt.

Du hast zudem die Möglichkeit, das Sicherheitsteam von Atlassian vorab über eine geplante Sicherheitsbewertung zu informieren. Sende dazu ein Ticket an den Atlassian-Support und nenne im Betreff: Intent for Security Assessment (Geplante Sicherheitsbewertung). Wir benötigen folgende Angaben von dir: Datum, Uhrzeit und Dauer des Tests, IP-Adresse(n) oder IP-Adressbereich, Zieldomänen und Kontaktinformationen. Eine Vorankündigung ist nicht vorgeschrieben, sie hilft uns aber, Tests zu erkennen und zu verhindern, dass wir den Netzwerkverkehr blockieren und damit den Test unbrauchbar machen.

Partner und Vertriebspartner von Atlassian Cloud-Produkten sind für die Sicherheitsbewertungsktivitäten ihrer Kunden verantwortlich.