Kontakt Cyber Security Volkswagen
Vulnerability Reporting Policy
Bei Volkswagen legen wir großen Wert auf die Sicherheit unserer digitalen Dienste und Produkte. Daher sind wir bestrebt relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nehmen wir Hinweise gerne entgegen.
Wenn Sie Hinweise auf eine Schwachstelle entdeckt haben, teilen Sie uns diese bitte mit, damit wir die Schwachstelle mit Ihrer Hilfe bearbeiten können. Nach Eingang der Meldung, untersuchen und behandeln wir die empfangenen Hinweise auf mögliche Schwachstellen im Rahmen unserer Prozesse.
Unsere Prinzipien:
- Befolgen Sie stets die jeweils geltenden, gesetzlichen Bestimmungen.
- Greifen Sie insbesondere auf keine Daten (personenbezogen/nicht-personenbezogen) zu, die nicht ausschließlich Ihnen zugeordnet sind bzw. ohne eine vorherige Zustimmung eingeholt zu haben.
- Führen Sie außerdem keine Aktivitäten durch, die Ihnen oder anderen schaden können oder zu potentiell gefährlichen Situationen führen können (z. B. Manipulation während der Fahrt, Manipulation von Airbags, etc.).
- Beeinträchtigungen der User Experience sowie eine Störung der Systeme sind zu vermeiden.
- Führen Sie Tests und Recherchen nur innerhalb des Geltungsbereichs (siehe unten Geltungsbereich) durch.
- Verwenden Sie den unten ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden.
- Senden Sie uns die Information bitte in Englisch oder auf Deutsch zu.
- Geben Sie ausreichend Details zum Nachstellen der Schwachstelle an:
- Informationen zu dem Zeitpunkt, zu dem die Schwachstelle entdeckt wurde.
- Alle verfügbaren Informationen zu den verwendeten Modellen und Bauteilen, Teilenummern, Fahrgestellnummern, Softwareständen.
Geltungsbereich:
- Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen digitalen Produkte (Apps, Dongles,..).
- Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen Fahrzeuge.
Schwachstellen außerhalb des Geltungsbereichs:
- Schwachstellen von Anwendungen oder Systemen außerhalb des hier beschriebenen Geltungsbereichs.
- Ergebnisse, die hauptsächlich aus dem Social Engineering stammen (z. B. Phishing, Vishing).
- User Interface- und User Experience-Fehler, Rechtschreib- und Grammatikfehler.
Bitte senden Sie Ihre Ergebnisse per E-Mail an vulnerability@volkswagen.de, indem Sie sie mit dem öffentlichen PGP-Schlüssel verschlüsseln, um die Vertraulichkeit der Daten zu schützen.
Wir werden Ihnen zeitnah eine erste Rückmeldung zum weiteren Vorgehen geben.
Zur Verschlüsselung nutzen Sie bitte den angegebenen PGP-Key.
Disclosure:
Bitte geben Sie uns die Möglichkeit, die Schwachstelle zu bearbeiten, sehen Sie bis dahin bitte von einer Veröffentlichung ab.
Beachten Sie bitte, dass die Bearbeitung einer Schwachstelle im Fahrzeug nicht mit der herkömmlichen Bearbeitung von Schwachstellen bei IT-Systemen vergleichbar ist. Ein Fahrzeug muss hohen gesetzlichen Anforderungen und Sicherheitsstandards gerecht werden. Einen möglichen Patch bereitzustellen, kann somit erheblich länger dauern.
Vulnerability Reporting Policy
At Volkswagen, we attach importance to the security of our digital services and products. Therefore, we strive to identify relevant security vulnerabilities and process them accordingly. We are happy to receive information in this context.
If you have found any information about a vulnerability, please let us know so we can process the vulnerability. After receiving the report, we investigate and treat the received indications of possible vulnerabilities align with our processes.
Our principles:
- Always follow the applicable legal regulations.
- In particular, do not access any data (personal / non-personal) that is not exclusively assigned to you or that you have obtained without prior consent.
- Also, do not try out any activities that can harm you or others or that can lead to potentially dangerous situations (e.g. manipulation while driving, manipulation of airbags, etc.).
- Impairment of the user experience and a malfunction of the systems should be avoided.
- Try out tests and research only within the scope (see scope below).
- Use the communication channel shown below to report vulnerability information to us.
- Please send us the information in English or German.
- Provide sufficient details to remedy the vulnerability:
- Information at the time the vulnerability was discovered.
- All available information on the models and components used, part numbers, chassis numbers, software versions.
Scope:
- All digital products belonging to the brand Volkswagen and Volkswagen Commercial Vehicles (apps, dongles, ..).
- All vehicles belonging to the brand Volkswagen and Volkswagen Commercial Vehicles.
Out of scope Vulnerabilities:
- Vulnerabilities of applications or systems outside the scope described above.
- Results that mainly come from social engineering (e.g. phishing, vishing).
- User interface and user experience errors, spelling and grammar errors.
Please send your results to vulnerability@volkswagen.de by encrypting them with the public PGP key to protect the confidentiality of the data.
Please use the specified PGP key for encryption.
We will promptly give you initial feedback on how to proceed.
Disclosure:
Please give us the opportunity to work on the vulnerability, until then please refrain from publishing it.
Please note that the processing of a vulnerability in the vehicle is not comparable to the conventional processing of vulnerabilities in IT systems. A vehicle must meet high legal requirements and safety standards. Providing a possible patch can therefore take considerably longer.