Kontakt Cyber Security Volkswagen

Vulnerability Reporting Policy

Bei Volkswagen legen wir großen Wert auf die Sicherheit unserer digitalen Dienste und Produkte. Daher sind wir bestrebt relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nehmen wir Hinweise gerne entgegen.
Wenn Sie Hinweise auf eine Schwachstelle entdeckt haben, teilen Sie uns diese bitte mit, damit wir die Schwachstelle mit Ihrer Hilfe bearbeiten können. Nach Eingang der Meldung, untersuchen und behandeln wir die empfangenen Hinweise auf mögliche Schwachstellen im Rahmen unserer Prozesse.

Unsere Prinzipien:

  • Befolgen Sie stets die jeweils geltenden, gesetzlichen Bestimmungen.
  • Greifen Sie insbesondere auf keine Daten (personenbezogen/nicht-personenbezogen) zu, die nicht ausschließlich Ihnen zugeordnet sind bzw. ohne eine vorherige Zustimmung eingeholt zu haben.
  • Führen Sie außerdem keine Aktivitäten durch, die Ihnen oder anderen schaden können oder zu potentiell gefährlichen Situationen führen können (z.B. Manipulation während der Fahrt, Manipulation von Airbags, etc.).
  • Beeinträchtigungen der User Experience sowie eine Störung der Systeme sind zu vermeiden.
  • Führen Sie Tests und Recherchen nur innerhalb des Geltungsbereichs (siehe unten Geltungsbereich) durch.
  • Verwenden Sie den unten ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden.
  • Senden Sie uns die Information bitte in Englisch oder auf Deutsch zu.
  • Geben Sie ausreichend Details zum Nachstellen der Schwachstelle an:
    • Informationen zu dem Zeitpunkt, zu dem die Schwachstelle entdeckt wurde.
    • Alle verfügbaren Informationen zu den verwendeten Modellen und Bauteilen, Teilenummern, Fahrgestellnummern, Softwareständen.

Geltungsbereich:

  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen digitalen Produkte (Apps, Dongles,..).
  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen Fahrzeuge.

Bitte senden Sie Ihre Ergebnisse per E-Mail an vulnerability@volkswagen.de, indem Sie sie mit dem öffentlichen PGP-Schlüssel verschlüsseln, um die Vertraulichkeit der Daten zu schützen. Wir werden Ihnen zeitnah eine erste Rückmeldung zum weiteren Vorgehen geben.
Zur Verschlüsselung nutzen Sie bitte den angegebenen PGP-Key.

Sonstige Anwendungen und Systeme:

  • Alle anderen Anwendungen und Systeme der Marke Volkswagen PKW und Volkswagen Nutzfahrzeuge.

Schwachstellen außerhalb des Geltungsbereichs:

  • Ergebnisse, die hauptsächlich aus dem Social Engineering stammen (z. B. Phishing, Vishing).
  • User Interface- und User Experience-Fehler, Rechtschreib- und Grammatikfehler.

Disclosure:

Bitte geben Sie uns die Möglichkeit, die Schwachstelle zu bearbeiten, sehen Sie bis dahin bitte von einer Veröffentlichung ab.
Beachten Sie bitte, dass die Bearbeitung einer Schwachstelle im Fahrzeug nicht mit der herkömmlichen Bearbeitung von Schwachstellen bei IT-Systemen vergleichbar ist. Ein Fahrzeug muss hohen gesetzlichen Anforderungen und Sicherheitsstandards gerecht werden. Einen möglichen Patch bereitzustellen, kann somit erheblich länger dauern.

Vulnerability Reporting Policy

At Volkswagen, we attach importance to the security of our digital services and products. Therefore, we strive to identify relevant security vulnerabilities and process them accordingly. We are happy to receive information in this context.
If you have found any information about a vulnerability, please let us know so we can process the vulnerability. After receiving the report, we investigate and treat the received indications of possible vulnerabilities align with our processes.

Our principles:

  • Always follow the applicable legal regulations.
  • In particular, do not access any data (personal / non-personal) that is not exclusively assigned to you or that you have obtained without prior consent.