Kontakt Cyber Security Volkswagen

Vulnerability Reporting Policy

Bei Volkswagen legen wir großen Wert auf die Sicherheit unserer digitalen Dienste und Produkte. Daher sind wir bestrebt relevante Security-Schwachstellen zu identifizieren und entsprechend zu bearbeiten. In diesem Zusammenhang nehmen wir Hinweise gerne entgegen.
Wenn Sie Hinweise auf eine Schwachstelle entdeckt haben, teilen Sie uns diese bitte mit, damit wir die Schwachstelle mit Ihrer Hilfe bearbeiten können. Nach Eingang der Meldung, untersuchen und behandeln wir die empfangenen Hinweise auf mögliche Schwachstellen im Rahmen unserer Prozesse.

Unsere Prinzipien:

  • Befolgen Sie stets die jeweils geltenden, gesetzlichen Bestimmungen.
  • Greifen Sie insbesondere auf keine Daten (personenbezogen/nicht-personenbezogen) zu, die nicht ausschließlich Ihnen zugeordnet sind bzw. ohne eine vorherige Zustimmung eingeholt zu haben.
  • Führen Sie außerdem keine Aktivitäten durch, die Ihnen oder anderen schaden können oder zu potentiell gefährlichen Situationen führen können (z.B. Manipulation während der Fahrt, Manipulation von Airbags, etc.).
  • Beeinträchtigungen der User Experience sowie eine Störung der Systeme sind zu vermeiden.
  • Führen Sie Tests und Recherchen nur innerhalb des Geltungsbereichs (siehe unten Geltungsbereich) durch.
  • Verwenden Sie den unten ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden.
  • Senden Sie uns die Information bitte in Englisch oder auf Deutsch zu.
  • Geben Sie ausreichend Details zum Nachstellen der Schwachstelle an:
    • Informationen zu dem Zeitpunkt, zu dem die Schwachstelle entdeckt wurde.
    • Alle verfügbaren Informationen zu den verwendeten Modellen und Bauteilen, Teilenummern, Fahrgestellnummern, Softwareständen.

Geltungsbereich:

  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen digitalen Produkte (Apps, Dongles,..).
  • Alle der Marke Volkswagen Pkw und Volkswagen Nutzfahrzeuge zugehörigen Fahrzeuge.

Bitte senden Sie Ihre Ergebnisse per E-Mail an vulnerability@volkswagen.de, indem Sie sie mit dem öffentlichen PGP-Schlüssel verschlüsseln, um die Vertraulichkeit der Daten zu schützen. Wir werden Ihnen zeitnah eine erste Rückmeldung zum weiteren Vorgehen geben.
Zur Verschlüsselung nutzen Sie bitte den angegebenen PGP-Key.

Sonstige Anwendungen und Systeme:

  • Alle anderen Anwendungen und Systeme der Marke Volkswagen PKW und Volkswagen Nutzfahrzeuge.

Schwachstellen außerhalb des Geltungsbereichs:

  • Ergebnisse, die hauptsächlich aus dem Social Engineering stammen (z. B. Phishing, Vishing).
  • User Interface- und User Experience-Fehler, Rechtschreib- und Grammatikfehler.

Disclosure:

Bitte geben Sie uns die Möglichkeit, die Schwachstelle zu bearbeiten, sehen Sie bis dahin bitte von einer Veröffentlichung ab.
Beachten Sie bitte, dass die Bearbeitung einer Schwachstelle im Fahrzeug nicht mit der herkömmlichen Bearbeitung von Schwachstellen bei IT-Systemen vergleichbar ist. Ein Fahrzeug muss hohen gesetzlichen Anforderungen und Sicherheitsstandards gerecht werden. Einen möglichen Patch bereitzustellen, kann somit erheblich länger dauern.

Vulnerability Reporting Policy

At Volkswagen, we attach importance to the security of our digital services and products. Therefore, we strive to identify relevant security vulnerabilities and process them accordingly. We are happy to receive information in this context.
If you have found any information about a vulnerability, please let us know so we can process the vulnerability. After receiving the report, we investigate and treat the received indications of possible vulnerabilities align with our processes.

Our principles:

  • Always follow the applicable legal regulations.
  • In particular, do not access any data (personal / non-personal) that is not exclusively assigned to you or that you have obtained without prior consent.
  • Also, do not try out any activities that can harm you or others or that can lead to potentially dangerous situations (e.g. manipulation while driving, manipulation of airbags, etc.).
  • Impairment of the user experience and a malfunction of the systems should be avoided.
  • Try out tests and research only within the scope (see scope below).
  • Use the communication channel shown below to report vulnerability information to us.
  • Please send us the information in English or German.
  • Provide sufficient details to remedy the vulnerability:
    • Information at the time the vulnerability was discovered.
    • All available information on the models and components used, part numbers, chassis numbers, software versions.

Scope:

  • All digital products belonging to the brand Volkswagen and Volkswagen Commercial Vehicles (apps, dongles, ..).
  • All vehicles belonging to the brand Volkswagen and Volkswagen Commercial Vehicles.

Please send your results to vulnerability@volkswagen.deOpens a mail link by encrypting them with the public PGP key to protect the confidentiality of the data. 
Please use the specified PGP key for encryption.
We will promptly give you initial feedback on how to proceed.

Other applications and systems:

  • All other applications and systems belonging to the brand VW and VW Commercial Vehicles

Out of scope Vulnerabilities:

  • Results that mainly come from social engineering (e.g. phishing, vishing).
  • User interface and user experience errors, spelling and grammar errors.

Disclosure:

Please give us the opportunity to work on the vulnerability, until then please refrain from publishing it.
Please note that the processing of a vulnerability in the vehicle is not comparable to the conventional processing of vulnerabilities in IT systems. A vehicle must meet high legal requirements and safety standards. Providing a possible patch can therefore take considerably longer.

Disclaimer von Volkswagen AG

Die in dieser Darstellung gezeigten Fahrzeuge und Ausstattungen können in einzelnen Details vom aktuellen deutschen Lieferprogramm abweichen. Abgebildet sind teilweise Sonderausstattungen der Fahrzeuge gegen Mehrpreis. Bitte beachten Sie auch unseren Konfigurator für eine Übersicht der aktuell verfügbaren Modelle und Ausstattungen. Die Angaben beziehen sich nicht auf ein einzelnes Fahrzeug und sind nicht Bestandteil des Angebots, sondern dienen allein Vergleichszwecken zwischen den verschiedenen Fahrzeugtypen.
Die angegebenen Verbrauchs-und Emissionswerte wurden nach den gesetzlich vorgeschriebenen Messverfahren ermittelt. Am 1. Januar 2022 hat der WLTP-Prüfzyklus den NEFZ-Prüfzyklus vollständig ersetzt, sodass für nach diesem Datum neu typgenehmigte Fahrzeuge keine NEFZ-Werte vorliegen. Die Angaben beziehen sich nicht auf ein einzelnes Fahrzeug und sind nicht Bestandteil des Angebots, sondern dienen allein Vergleichszwecken zwischen den verschiedenen Fahrzeugtypen. Zusatzausstattungen und Zubehör (Anbauteile, Reifenformat usw.) können relevante Fahrzeugparameter, wie z. B. Gewicht, Rollwiderstand und Aerodynamik verändern und neben Witterungs-und Verkehrsbedingungen sowie dem individuellen Fahrverhalten den Kraftstoffverbrauch, den Stromverbrauch, die CO2-Emissionen und die Fahrleistungswerte eines Fahrzeugs beeinflussen. Wegen der realistischeren Prüfbedingungen sind die nach dem WLTP gemessenen Kraftstoffverbrauchs- und CO2-Emissionswerte in vielen Fällen höher als die nach dem NEFZ gemessenen. Dadurch können sich seit dem 1. September 2018 bei der Fahrzeugbesteuerung entsprechende Änderungen ergeben. Weitere Informationen zu den Unterschieden zwischen WLTP und NEFZ finden Sie unter https://www.volkswagen.de/wltp. Weitere Informationen zum offiziellen Kraftstoffverbrauch und den offiziellen spezifischen CO2-Emissionen neuer Personenkraftwagen können dem „Leitfaden über den Kraftstoffverbrauch, die CO2-Emissionen und den Stromverbrauch neuer Personenkraftwagen“ entnommen werden, der an allen Verkaufsstellen und bei der DAT Deutsche Automobil Treuhand GmbH, Hellmuth-Hirth-Str. 1, D-73760 Ostfildern oder unter www.dat.de/co2 erhältlich ist.