Kontakt Cyber Security Volkswagen

Vulnerability Reporting Policy

Bei Volkswagen legen wir großen Wert auf die Sicherheit unserer digitalen Dienste und Produkte. Daher sind wir bestrebt relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nehmen wir Hinweise gerne entgegen.
Wenn Sie Hinweise auf eine Schwachstelle entdeckt haben, teilen Sie uns diese bitte mit, damit wir die Schwachstelle mit Ihrer Hilfe bearbeiten können. Nach Eingang der Meldung, untersuchen und behandeln wir die empfangenen Hinweise auf mögliche Schwachstellen im Rahmen unserer Prozesse.

Unsere Prinzipien:

  • Befolgen Sie stets die jeweils geltenden, gesetzlichen Bestimmungen.
  • Greifen Sie insbesondere auf keine Daten (personenbezogen/nicht-personenbezogen) zu, die nicht ausschließlich Ihnen zugeordnet sind bzw. ohne eine vorherige Zustimmung eingeholt zu haben.
  • Führen Sie außerdem keine Aktivitäten durch, die Ihnen oder anderen schaden können oder zu potentiell gefährlichen Situationen führen können (z.B. Manipulation während der Fahrt, Manipulation von Airbags, etc.).
  • Beeinträchtigungen der User Experience sowie eine Störung der Systeme sind zu vermeiden.
  • Führen Sie Tests und Recherchen nur innerhalb des Geltungsbereichs (siehe unten Geltungsbereich) durch.
  • Verwenden Sie den unten ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden.
  • Senden Sie uns die Information bitte in Englisch oder auf Deutsch zu.
  • Geben Sie ausreichend Details zum Nachstellen der Schwachstelle an:
    • Informationen zu dem Zeitpunkt, zu dem die Schwachstelle entdeckt wurde.
    • Alle verfügbaren Informationen zu den verwendeten Modellen und Bauteilen, Teilenummern, Fahrgestellnummern, Softwareständen.

Geltungsbereich:

  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen digitalen Produkte (Apps, Dongles,..).
  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen Fahrzeuge.

Schwachstellen außerhalb des Geltungsbereichs:

  • Schwachstellen von Anwendungen oder Systemen außerhalb des hier beschriebenen Geltungsbereichs.
  • Ergebnisse, die hauptsächlich aus dem Social Engineering stammen (z. B. Phishing, Vishing).
  • User Interface- und User Experience-Fehler, Rechtschreib- und Grammatikfehler.

Bitte senden Sie Ihre Ergebnisse per E-Mail an vulnerability@volkswagen.de, indem Sie sie mit dem öffentlichen PGP-Schlüssel verschlüsseln, um die Vertraulichkeit der Daten zu schützen.
Wir werden Ihnen zeitnah eine erste Rückmeldung zum weiteren Vorgehen geben.
Zur Verschlüsselung nutzen Sie bitte den angegebenen PGP-Key.

Disclosure:

Bitte geben Sie uns die Möglichkeit, die Schwachstelle zu bearbeiten, sehen Sie bis dahin bitte von einer Veröffentlichung ab.
Beachten Sie bitte, dass die Bearbeitung einer Schwachstelle im Fahrzeug nicht mit der herkömmlichen Bearbeitung von Schwachstellen bei IT-Systemen vergleichbar ist. Ein Fahrzeug muss hohen gesetzlichen Anforderungen und Sicherheitsstandards gerecht werden. Einen möglichen Patch bereitzustellen, kann somit erheblich länger dauern.

Vulnerability Reporting Policy

At Volkswagen, we attach importance to the security of our digital services and products. Therefore, we strive to identify relevant security vulnerabilities and process them accordingly. We are happy to receive information in this context.
If you have found any information about a vulnerability, please let us know so we can process the vulnerability. After receiving the report, we investigate and treat the received indications of possible vulnerabilities align with our processes.

Our principles:

  • Always follow the applicable legal regulations.
  • In particular, do not access any data (personal / non-personal) that is not exclusively assigned to you or that you have obtained without prior consent.
  • Also, do not try out any activities that can harm you or others or that can lead to potentially dangerous situations (e.g. manipulation while driving, manipulation of airbags, etc.).
  • Impairment of the user experience and a malfunction of the systems should be avoided.
  • Try out tests and research only within the scope (see scope below).
  • Use the communication channel shown below to report vulnerability information to us.
  • Please send us the information in English or German.
  • Provide sufficient details to remedy the vulnerability:
    • Information at the time the vulnerability was discovered.
    • All available information on the models and components used, part numbers, chassis numbers, software versions.

Scope:

  • All digital products belonging to the brand Volkswagen and Volkswagen Commercial Vehicles (apps, dongles, ..).
  • All vehicles belonging to the brand Volkswagen and Volkswagen Commercial Vehicles.

Out of scope Vulnerabilities:

  • Vulnerabilities of applications or systems outside the scope described above.
  • Results that mainly come from social engineering (e.g. phishing, vishing).
  • User interface and user experience errors, spelling and grammar errors.

Please send your results to vulnerability@volkswagen.deOpens a mail link by encrypting them with the public PGP key to protect the confidentiality of the data. 
Please use the specified PGP key for encryption.
We will promptly give you initial feedback on how to proceed.

Disclosure:

Please give us the opportunity to work on the vulnerability, until then please refrain from publishing it.
Please note that the processing of a vulnerability in the vehicle is not comparable to the conventional processing of vulnerabilities in IT systems. A vehicle must meet high legal requirements and safety standards. Providing a possible patch can therefore take considerably longer.

Volkswagen AG Disclaimer

  • Die in dieser Darstellung gezeigten Fahrzeuge und Ausstattungen können in einzelnen Details vom aktuellen deutschen Lieferprogramm abweichen. Abgebildet sind teilweise Sonderausstattungen der Fahrzeuge gegen Mehrpreis.

    Bitte beachten Sie auch unseren Konfigurator für eine Übersicht der aktuell verfügbaren Modelle und Ausstattungen.Die Angaben beziehen sich nicht auf ein einzelnes Fahrzeug und sind nicht Bestandteil des Angebots, sondern dienen allein Vergleichszwecken zwischen den verschiedenen Fahrzeugtypen.
  • Bitte beachten Sie die allgemeingültigen Corona Regelungen. 
  • Die angegebenen Verbrauchs- und Emissionswerte wurden nach den gesetzlich vorgeschriebenen Messverfahren ermittelt. Seit dem 1. September 2017 werden bestimmte Neuwagen bereits nach dem weltweit harmonisierten Prüfverfahren für Personenwagen und leichte Nutzfahrzeuge (Worldwide Harmonized Light Vehicles Test Procedure, WLTP), einem realistischeren Prüfverfahren zur Messung des Kraftstoffverbrauchs und der CO2-Emissionen, typgenehmigt. Ab dem 1. September 2018 wird der WLTP schrittweise den neuen europäischen Fahrzyklus (NEFZ) ersetzen. Wegen der realistischeren Prüfbedingungen sind die nach dem WLTP gemessenen Kraftstoffverbrauchs- und CO2-Emissionswerte in vielen Fällen höher als die nach dem NEFZ gemessenen. Dadurch können sich ab 1. September 2018 bei der Fahrzeugbesteuerung entsprechende Änderungen ergeben. Weitere Informationen zu den Unterschieden zwischen WLTP und NEFZ finden Sie unter www.volkswagen.de/wltp.

    Aktuell sind noch die NEFZ-Werte verpflichtend zu kommunizieren. Soweit es sich um Neuwagen handelt, die nach WLTP typgenehmigt sind, werden die NEFZ-Werte von den WLTP-Werten abgeleitet. Die zusätzliche Angabe der WLTP-Werte kann bis zu deren verpflichtender Verwendung freiwillig erfolgen. Soweit die NEFZ-Werte als Spannen angegeben werden, beziehen sie sich nicht auf ein einzelnes, individuelles Fahrzeug und sind nicht Bestandteil des Angebotes. Sie dienen allein Vergleichszwecken zwischen den verschiedenen Fahrzeugtypen. Zusatzausstattungen und Zubehör (Anbauteile, Reifenformat usw.) können relevante Fahrzeugparameter, wie z. B. Gewicht, Rollwiderstand und Aerodynamik, verändern und neben Witterungs- und Verkehrsbedingungen sowie dem individuellen Fahrverhalten den Kraftstoffverbrauch, den Stromverbrauch, die CO2-Emissionen und die Fahrleistungswerte eines Fahrzeugs beeinflussen.

    Weitere Informationen zum offiziellen Kraftstoffverbrauch und den offiziellen, spezifischen CO2-Emissionen neuer Personenkraftwagen können dem „Leitfaden über den Kraftstoffverbrauch, die CO2-Emissionen und den Stromverbrauch neuer Personenkraftwagen“ entnommen werden, der an allen Verkaufsstellen und bei der DAT Deutsche Automobil Treuhand GmbH, Hellmuth-Hirth-Str. 1, 73760 Ostfildern-Scharnhausen (www.dat.de/co2) unentgeltlich erhältlich ist.

    Effizienzklassen bewerten Fahrzeuge anhand der CO2-Emissionen unter Berücksichtigung des Fahrzeugleergewichts. Fahrzeuge, die dem Durchschnitt entsprechen, werden mit D eingestuft. Fahrzeuge, die besser sind als der heutige Durchschnitt werden mit A+++, A++, A+, A, B oder C eingestuft. Fahrzeuge, die schlechter als der Durchschnitt sind, werden mit E, F oder G beschrieben. Die hier gemachten Angaben beziehen sich jeweils auf die EG-Typgenehmigung des gewählten Modells und dessen Serienausstattung gem. Richtlinie 2007/46/EG. Von Ihnen im Zuge der Konfiguration gewählte Sonderausstattung kann dazu führen, dass Ihr konfiguriertes Modell aufgrund der gewählten Ausstattung einem anderen genehmigten Typ entspricht, als dies ohne gewählte Sonderausstattung der Fall wäre. Daraus können sich Abweichungen der Angaben für Ihr konfiguriertes Modell ergeben. Bei den angegebenen CO2-Werten handelt es sich um die Werte, die im Rahmen der Typgenehmigung des Fahrzeugs ermittelt wurden.