Verhaltenskodex

Haftungsausschluss: Das Original dieser Seite wurde auf Niederländisch verfasst. Diese Seite wurde mit DeepL automatisch in andere Sprachen übersetzt. Dies kann zu Unterschieden in Nuancen, Ton und Bedeutung führen. Im Zweifelsfall sollten Sie immer zuerst die niederländische Version konsultieren. Aufgrund der hohen Kosten für Übersetzungen kann diese Seite inhaltlich hinter der niederländischen Version zurückbleiben. Wir betrachten die niederländische Version dieser Seite als führend.

Verhaltenskodex Internet Cleanup Foundation Version 1.0

Freiwillige Helfer der Stiftung Internet Cleanup führen ihre Aktivitäten gemäß diesem Verhaltenskodex durch.

  1. Die Internet Cleanup Foundation ist eine niederländische Stiftung, deren Ziel es ist, das Internet sicher zu machen. Die zugrunde liegenden Ziele sind eine widerstandsfähige Gesellschaft gegen Online-Bedrohungen und dass jeder das Internet sicher nutzen kann. Wir tun dies unter anderem, indem wir Einblicke in die Verfügbarkeit, Integrität und Vertraulichkeit digitaler Dienste geben. Zum Beispiel, indem wir die Anwendung von digitalen Sicherheitsmaßnahmen visualisieren.
  2. Dieser Verhaltenskodex bildet eine ethische Grundlage für unsere Aktivitäten. Dies ist unerlässlich, da wir mit potenziell sensiblen Daten arbeiten, und zwar in den meisten Fällen ohne vorherige Einwilligung oder Zustimmung zur Verarbeitung.
  3. Wir handeln mit:
    1. die (automatisierte) Domänensuche und die automatisierte Messung von (Schutzmaßnahmen gegen) Schwachstellen in der digitalen Infrastruktur
    2. Veranschaulichung der Anwendung bzw. des Fehlens von Sicherheitsanforderungen in großem Maßstab, wenn es ethisch vertretbar ist, dies zu veröffentlichen (siehe Veröffentlichungspolitik)
    3. diese Erkenntnisse so öffentlich wie möglich zu kommunizieren, um alle Schwachstellen zu beheben
    4. Zusammenarbeit mit vertrauenswürdigen Organisationen, um diese Schwachstellen zu beheben
  4. Wir sind uns bewusst, dass wir uns an der Grenze des rechtlich Zulässigen bewegen. Daher sind sorgfältige Überlegungen die Grundlage unserer Aktivitäten. Die Aktivitäten müssen immer mit den folgenden Grundlagen übereinstimmen:
    1. Sozialer Nutzen: Wir handeln im öffentlichen Interesse, weil wir glauben, dass das Internet ein sicherer Ort für alle sein sollte. Unsere Aktivitäten sind nicht durch finanzielle, politische oder individuelle Interessen motiviert.
    2. Verhältnismäßigkeit: Das Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit von Online-Diensten zu erhöhen, mit dem übergeordneten Ziel, die Gesellschaft sicherer zu machen. Unsere Bemühungen zielen darauf ab, die Sicherheit zu erhöhen, nicht sie zu schwächen.
    3. Subsidiarität: Es wird immer die Lösung gewählt, die das Ziel mit den geringsten Auswirkungen erreicht.
  5. Wir sind akribisch: Messungen sind überprüfbar, fundiert und klar formuliert. Wir entwickeln und verwenden Messinstrumente, die von hoher Qualität sind und keine Schäden an Systemen oder Infrastrukturen verursachen. Die Messungen gehen nie über das hinaus, was notwendig ist, um eine Schwachstelle oder das Fehlen einer Sicherheitsmaßnahme nachzuweisen.
  6. Wir sind uns der Komplexität des Internets und der digitalen Infrastruktur bewusst. Daher wird bei Messungen das Prinzip „comply or explain“ angewendet. Dies schafft einen Standard dafür, welche Ausnahmen von der grundlegenden Sicherheit in welcher Situation akzeptabel sind. Diese Richtlinie wird öffentlich veröffentlicht, damit Organisationen sie einhalten können. Eine Erklärung wird akzeptiert, wenn es sich um eine Lösung handelt, die ‚by design‘ ist. Bei Erklärungen, die auf Messfehler hinweisen, werden die Messinstrumente weiter fokussiert und die Messung aktualisiert.
  7. Wir messen und veröffentlichen auf nationaler Ebene und richten uns an ganze Branchen und relevante Dachverbände. Wir behandeln alle Organisationen gleich und erwarten, dass sie alle die gleichen Sicherheitsanforderungen erfüllen.
  8. Schwachstellen werden nach Möglichkeit gemäß diesem Verhaltenskodex veröffentlicht. Die Veröffentlichung hat eine Reihe von Merkmalen, die wir ausdrücklich anstreben:
    1. Menschen, die sich mit digitaler Sicherheit nicht so gut auskennen, wird klar, wie gut Organisationen mit Sicherheit umgehen. Sie können daraus Schlüsse ziehen und darauf drängen, sich zu verbessern,
    2. Die Sicherheit wird für den Fahrer greifbar, so dass er sie ansteuern kann, anstatt blindlings zu fahren,
    3. Dadurch wird vermieden, dass sich eine riesige Mitarbeiterorganisation mit jeder einzelnen Schwachstelle befassen und diese weiterverfolgen muss,
    4. Es entsteht Transparenz: über den Umfang der Online-Dienste und ihre Qualität. Dieses Bild fehlt in vielen Unternehmen. Deshalb werden zum Beispiel Systeme vergessen, bleiben ungepatcht und werden immer anfälliger.
    5. Wir machen öffentlich, was bereits öffentlich ist, und schützen, was geschützt werden sollte. Mit anderen Worten: „Öffentliche Daten nützen, private Daten schützen“.
  9. Die veröffentlichten Messungen sind aktuell. Sie werden regelmäßig wiederholt und sind in den meisten Fällen nicht älter als 2 Monate. Folglich hat jede Organisation, die gemessen wird, die Kontrolle über ihre eigene Bewertung.
  10. Wir melden grundlegende Sicherheitsschwachstellen, indem wir sie öffentlich und so weit wie möglich bekannt machen. Der Eigentümer der Systeme ist für die Behebung der Schwachstellen verantwortlich.
  11. Jeder, der an den Aktivitäten der Stiftung beteiligt ist, kennt diese Verhaltensregeln und sorgt dafür, dass sie eingehalten werden. Wenn sich jemand nicht an diese Verhaltensregeln hält, werden Maßnahmen ergriffen. Eine solche Maßnahme ist zum Beispiel die Verweigerung des Zugangs zu Projekten und Infrastruktur.
  12. Vor der Veröffentlichung von Informationen über neue Gruppen von Organisationen werden die Dachorganisationen kontaktiert, um die Veröffentlichung anzukündigen und eine weiche Landung bei den Verantwortlichen zu erreichen. Nach einer Landezeit von mindestens einem Monat wird die Veröffentlichung fortgesetzt.
  13. Neue Arten von Messungen werden den Dachverbänden mitgeteilt. Dies gibt ihnen die Möglichkeit, diese an ihre Teilnehmer weiterzuleiten, damit sie schnell nachfassen können.
  14. Wir wenden die Hacker-Slogans „Seid exzellent zueinander“ und „Alle Lebewesen sind willkommen“ auf die sozialen Umgangsformen in der Stiftung an.

Dieser Verhaltenskodex orientiert sich an dem des niederländischen Instituts für die Offenlegung von Schwachstellen, dem wir dafür danken.