Nutzungsbestimmungen

Version: 1.5
Gültig ab: 11. Februar 2022

1. Definitionen

  1. Ein Bug-Bounty-Programm  ist eine von Unternehmen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Softwarefehlern und Sicherheitslücken (nachfolgend Schwachstellen) unter Auslobung von Geldpreisen für die Entdecker.
  2. Die GObugfree Plattform (nachfolgend: Plattform ) ist eine von der GObugfree AG ( Plattformbetreiberin ) betriebene Plattform, die ihren Kunden (Customers) anbietet, ein Bug-Bounty-Programm durchzuführen.
  3. Ein Customer  ist ein Kunde, der das Angebot der Plattform nutzt, um Schwachstellen in seiner Software zu finden und vor deren öffentlichen Bekanntwerden zu beheben.
  4. Friendly Hacker  sind Sicherheitsexperten, die an einem Bug-Bounty-Programm teilnehmen und für das Aufdecken von Fehlern in der Software der Customers belohnt werden.

2. Beschrieb der Plattform

Viele Unternehmen können sich aufgrund des technischen, organisatorischen und rechtlichen Aufwands keine eigenständig organisierten Bug-Bounty-Programme resp. -Plattformen leisten.

An dieser Stelle setzt die GObugfree Plattform an: Die Plattform ermöglicht, dem Customer ein individuelles Bug-Bounty-Programm über die GObugfree Plattform zu erstellen und zu verwalten und bietet sowohl den Friendly Hackers als auch den Customers eine rechtliche Absicherung in Form eines «Legal Safe Harbor». Solange sich die Friendly Hackers im von den Customers vorgegebenen Rahmen bewegen, machen sie sich nicht strafbar, weil die Customers in entsprechende Hacking-Handlungen vorgängig eingewilligt haben.

Allfällige Schwachstellen werden von den Friendly Hackers ausschliesslich über die GObugfree Plattform gemeldet. Diese sorgt für die sichere Aufbewahrung dieser Information und prüft gemeldete Schwachstellen auf Nachvollziehbarkeit und Neuheit. Sodann kategorisiert sie nachvollziehbare und nicht bereits bekannte Schwachstellen mit Blick auf ihre Schwere und Kritikalität. Abhängig von der Schwere einer Schwachstelle («Bug») spricht sie sodann eine Belohnung («Bounty») zu und überweist den entsprechenden Geldbetrag auf das Konto des Friendly Hackers. Die Kategorien von Schwachstellen und den zugehörigen Belohnungen sind auf der Webseite der Plattform für registrierte Friendly Hackers einsehbar, wobei die Belohnungen von den Customers für das jeweilige Bug-Bounty-Programm festgelegt werden.

3. Leistungen der Plattform

Die Plattform bietet Customers eine Bug-Bounty-Plattform an, über welche der Customer sein individuelles Bug-Bounty-Programm betreiben kann. Dies umfasst die folgenden Leistungen, falls im gewählten Service-Typ der Plattform nicht anders angegeben:

  • Überprüfung der Identität der Friendly Hackers entsprechend den verschiedenen Identitätsprüfungsstufen.
  • Zusicherung, dass nur jene Friendly Hackers an einem Bug-Bounty-Programm teilnehmen, welche die allgemeinen und je Customer individuellen Nutzungsbestimmungen und Regeln für Friendly Hackers akzeptiert haben.
  • Prüfung von durch Friendly Hacker gemeldeten Schwachstellen hinsichtlich Neuheit und Nachvollziehbarkeit.
  • Überprüfung der durch den Friendly Hacker initial festgelegten Einstufung der Schwere von neuen und nachvollziehbaren Schwachstellen.
  • Bereitstellung einer Diskussionsplattform zwischen dem Customer und dem Friendly Hacker für Rückfragen bei gemeldeten Schwachstellen.
  • Sichere Aufbewahrung der Information über Schwachstellen bis zu deren Behebung.
  • Information über bereits gefundene Schwachstellen für Friendly Hackers, welche am betreffenden Bug-Bounty-Programm teilnehmen (um Mehrfachmeldungen auszuschliessen).
  • Auszahlung von Belohnungen für neue und nachvollziehbare Schwachstellen entsprechend der individuellen Bounty-Liste des Customers.
  • Wenn bei der Bewertung einer Schwachstelle Unsicherheiten auftreten, kontaktiert die Plattform den Customer. Der Customer kann anschliessend für die Bewertung hilfreiche Informationen übermitteln. Im Zweifelsfall entscheidet die Plattform auf Basis der durch Friendly Hacker und Customer gelieferten Informationen. Der Entscheid ist durch die Plattform zu begründen.

4. Pflichten der Friendly Hackers

  1. Um an einem Bug-Bounty-Programm über die Plattform teilzunehmen, müssen sich Friendly Hackers mindestens mit Vor- und Nachname, Post-Adresse, E-Mail-Adresse und Telefonnummer registrieren und dabei die vorliegenden Nutzungsbestimmungen akzeptieren. Es gilt ein Mindestalter von 18 Jahren. Mit der Annahme der Nutzungsbestimmungen sichern die Friendly Hackers zu, mindestens 18 Jahre alt zu sein. Für die Auszahlung einer Belohnung ist zudem die Angabe eines auf ihren Namen lautenden Bankkontos (IBAN plus Name und Post-Adresse) notwendig.  Zudem müssen sie die jeweiligen individuellen Bestimmungen eines jeden Bug-Bounty-Programms, an welchem sie teilnehmen möchten, akzeptieren. Diese können zusätzlich zu den nachfolgend aufgelisteten unerlaubten Hacking-Methoden weitere Hacking-Methoden untersagen und auch sonstige Bedingungen aufstellen, welche über die vorliegenden Nutzungsbestimmungen hinausgehen.
  2. Die Friendly Hackers sind für ihren Account verantwortlich und müssen insbesondere dafür sorgen, dass die Zugangsdaten für Dritte unzugänglich sind. Mit dem Akzeptieren der Nutzungsbestimmungen willigen Friendly Hackers in die Weitergabe ihrer Kontaktdaten an die Customers der Bug-Bounty-Programme, an denen sie teilnehmen, ein.
  3. Mit der Annahme der vorliegenden Nutzungsbestimmungen verpflichten sich Friendly Hackers dazu, Informationen über gefundene Schwachstelle ausschliesslich über das dafür vorgesehenen Meldeformular der Plattform und nicht an anderen Orten zu dokumentieren. Sie verpflichten sich darüber hinaus, die gefundenen Schwachstelle 90 Tage nach Meldung auf der Plattform geheim zu halten. Schliesslich verpflichten sie sich dazu, Daten der Customers, an die sie im Rahmen eines Bug-Bounty-Programms herangekommen sind, auf die Plattform hochzuladen sowie allfällige lokale Kopien anschliessend zu löschen und nicht weiterzuverbreiten.
  4. Friendly Hackers verpflichten sich mit dem Akzeptieren der Nutzungsbestimmungen, von Methoden abzusehen welche negative Auswirkungen auf die geprüfte Applikationen resp. deren Benutzer hat. U.a. sind das:
    • Social Engineering
    • Spamming
    • Phishing
    • Denial-of-Service-Attacken oder andere Bruteforce-Attacken
    • Physische Attacken
  5. Zusätzlich zu den unter Ziff. ‎4.4 aufgelisteten unzulässigen Hacking-Methoden sind die Friendly Hackers verpflichtet, die Schwachstellensuche sofort abzubrechen, wenn sie feststellen, dass ihr Verhalten zu einer signifikanten Beeinträchtigung (negative Auswirkungen auf die regulären Benutzer oder auf die Betriebsmannschaft) des operativen Betriebs der Plattform oder des Services führt.

5. Pflichten der Customers

  1. Bei der Einrichtung eines Bug-Bounty-Programms über die Plattform müssen Customers den Scope des Programms definieren. Der Scope definiert, für welche Services des Customers das Bug Bounty Programm gelten soll. Dazu können sie insbesondere bestimmte Domains und/oder Unterverzeichnisse in den Scope aufnehmen oder vom Scope ausschliessen. Die weiteren für den Scope benötigten Angaben ergeben sich aus dem entsprechenden Formular.
  2. Mit der Annahme der Nutzungsbestimmungen erteilen die Customers ihre Einwilligung in die Anwendung von Hacking-Methoden durch Friendly Hackers auf die von ihnen bezeichneten Webseiten und Software. Ausgenommen sind die unter Randziffer ‎4.4 und im Bug-Bounty-Programm aufgelisteten Methoden. Aufgrund der Einwilligung der Customers entfällt das Strafbarkeitsmerkmal der Unbefugtheit und damit Strafbarkeit der Friendly Hackers mit Blick auf die Tatbestände in Art. 143 StGB (Unbefugte Datenbeschaffung) und Art. 143bis  StGB (Unbefugtes Eindringen in ein Datenverarbeitungssystem).
  3. Customers verpflichten sich zur Zahlung der Preise gemäss Preisliste für die Dienstleistungen der Plattform sowie einer von ihnen gewählten Summe, die im Falle des Entdeckens von neuen und nachvollziehbaren Schwachstellen für die Bezahlung der Friendly Hackers als Bounty eingesetzt wird. Der Preis für die Dienstleistungen der Plattform und die für Belohnungen vorgesehene Summe sind vor dem Start eines Bug-Bounty-Programms an die Plattformbetreiberin zu überweisen oder z.B. in Form einer Purchase Order (PO) zuzusichern. Die Belohnung für den Friendly Hacker inklusive der Handling Fee der Plattform muss innert 15 Tagen nach definitiver Bestätigung des Bugs überwiesen werden. Eine Vorauszahlung der jährlich für Belohnungen vorgesehenen Summen ist auch möglich.
  4. Das von einem Customer gestartete Bug-Bounty-Programm läuft so lange, bis es durch den Customer pausiert oder gestoppt wird. Die Customers verpflichten sich zur Bezahlung der Belohnungen (Bounties) für die während einem laufenden (d.h. nicht pausierten oder gestoppten) Bug-Bounty-Programm gefundenen Bugs.

6. Bewertung und Auszahlung von Bounties

  1. Die von Friendly Hackers über die Plattform gemeldeten Bugs werden von der Plattformbetreiberin innerhalb von 10 Tagen im Hinblick auf ihre Neuheit und Nachvollziehbarkeit bewertet und, sofern sie neu und nachvollziehbar sind, in einer Kategorie und damit in einer Belohnung gemäss Bounty-Liste des jeweiligen Bug-Bounty-Programms bestätigt. Wenn eine Rückmeldung des Customers erforderlich ist, kann die Bearbeitung des eingereichten Bugs länger dauern.
  2. Die Einstufung wird, falls nichts anders im Bug-Bounty-Programm definiert, mittels Common Vulnerability Scoring System (CVSS) verifiziert:
    • Tief: 0.1 – 3.9
    • Mittel: 4.0 – 6.9
    • Hoch: 7.0 – 8.9
    • Kritisch: 9.0 - 10
  3. Die Belohnung für das Auffinden und Melden eines neuen und nachvollziehbaren Bugs wird innerhalb von 40 Tagen nach definitiver Bestätigung des Bugs auf das bei der Registrierung angegebene Bankkonto des betreffenden Friendly Hackers überwiesen.
  4. Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, werden mit einer Prämie belohnt.
  5. Die Plattform ist berechtigt, gemeldete Bugs zurückzuweisen, wenn diese nicht neu und/oder nicht nachvollziehbar sind. Damit verfällt jeglicher Anspruch auf eine Vergütung.
  6. Folgende Schwachstellen und Dokumentationsformen sind grundsätzlich nicht gesucht und werden zurückgewiesen:
    • Best Practices welche nicht zu einer direkt ausnutzbaren Schwachstelle führen (z.B. fehlende Security Headers).
    • Schwachstellen aufgrund von Software-Bibliotheken von Drittfirmen, bei welchen wiederum die Schwachstellen bereits bekannt sind.
    • Dokumentationen von automatischen Tools ohne zusätzliche Erklärungen.

7. Vertragslaufzeit

  1. Der Vertrag zwischen der Plattform und den Friendly Hackers kommt mit der Registrierung eines Accounts und der dabei erfolgten Annahme der Nutzungsbestimmungen zustande. Der Vertrag kann durch die Friendly Hackers jederzeit gekündigt werden, indem der Account gelöscht wird. Der Vertrag kann auch durch die Plattform ohne Angabe von Gründen jederzeit gekündigt und der Accountzugang des Friendly Hackers deaktiviert werden.
  2. Der Vertrag zwischen der Plattform und den Customers kommt mit der Registrierung eines Accounts und der dabei erfolgten Annahme der Nutzungsbestimmungen zustande. Der Vertrag kann durch die Customers jederzeit gekündigt werden, indem der Account gelöscht wird. Der Vertrag kann auch durch die Plattform ohne Angabe von Gründen auf Ende der Laufzeit gekündigt werden. Bei einer Kündigung des Vertrags zwischen der Plattform und den Customers wird ein allfälliges Guthaben zurückerstattet.

8. Haftung

  1. Für allfällige Schäden, die im Rahmen des vom Scope erlaubten Hackings auftreten, sind allein die Customers verantwortlich. Ein zivil- oder strafrechtliches Vorgehen gegen Friendly Hacker oder die Plattform ist in diesem Fall ausgeschlossen.
  2. Hält sich ein Friendly Hacker nicht an den vorgebebenen Scope und entsteht deshalb ein Schaden, ist alleine der Friendly Hacker dafür verantwortlich. Beim Nachweis eines begründeten Verdachts auf Überschreitung des Scope durch die Customers sperrt die Plattform den Account des oder der fehlbaren Friendly Hackers. Eine darüberhinausgehende Verantwortlichkeit der Plattform ist ausgeschlossen.
  3. Die Plattform sorgt für eine dem Stand der Technik entsprechende sichere Aufbewahrung der Informationen über gefundene Schwachstellen. Für den Fall, dass Dritte trotz der getroffenen Schutzmassnahmen auf entsprechende Informationen zugreifen können und dadurch ein Schaden entsteht, wird die Haftung der Plattform ausgeschlossen.
  4. Die Plattform sorgt für die bestmögliche Erreichbarkeit. Für allfällige Schäden infolge eines Unterbruchs der Plattform wird eine Haftung der Plattform ausgeschlossen.
  5. Friendly Hackers sind dafür verantwortlich, dass sie ihre Einnahmen (Belohnungen für gefundene Bugs) nach dem für sie anwendbaren Recht korrekt deklarieren. Die Plattform schliesst jegliche Haftung wegen nicht korrekter Deklaration der Einnahmen durch die Friendly Hackers aus. Für Friendly Hackers mit Wohnsitz in der Schweiz gilt, dass es mangels wirtschaftlicher und arbeitsorganisatorischer Abhängigkeit an einer unselbständigen Erwerbstätigkeit und damit an einer Voraussetzung für die sozialversicherungsrechtliche Beitragspflicht fehlt.

9. Schlussbestimmungen

  1. Die Plattform ist berechtigt, alle oder vereinzelte Leistungen, zu denen sie gemäss diesen Nutzungsbedingungen verpflichtet ist durch beigezogene Subunternehmer auch im Ausland erbringen zu lassen.
  2. Mitteilungen der Plattform an Customers und Friendly Hackers erfolgen per E-Mail oder über die Plattform.
  3. Die Plattform kann die vorliegenden Nutzungsbestimmungen ändern. Es gilt jeweils die online abrufbare Version der Nutzungsbestimmungen.
  4. Auf Verträge zwischen der Plattform und den Friendly Hackers bzw. zwischen der Plattform und den Customers ist ausschliesslich schweizerisches Recht anwendbar. Die Verträge zwischen Plattform und Friendly Hacker, bzw. zwischen der der Plattform und den Customer unterstehen ausschliesslich schweizerischem materiellen Recht unter Ausschluss internationaler Übereinkommen, auch dem Übereinkommen der Vereinten Nationen über Verträge für den internationalen Warenverkauf vom 11.04.1980 (CISG) und der kollisionsrechtlichen Normen.
  5. Ausschliesslicher Gerichtsstand ist Zürich.