Berichte zu Schwachstellen

Aufgreifen potenzieller Schwachstellen in allen Bereichen unserer Cloud Services

Amazon Web Services nimmt Sicherheit sehr ernst und untersucht alle gemeldeten Schwachstellen. Auf dieser Seite wird unser Umgang mit potenziellen Schwachstellen in allen Aspekten unserer Cloud-Services beschrieben.

Melden vermuteter Schwachstellen

  • Amazon Web Services (AWS): Falls Sie eine Schwachstelle melden möchten oder eine Frage zur Sicherheit von AWS Cloud-Services oder Open Source-Projekten haben, senden Sie eine E-Mail an aws-security@amazon.com. Wenn Sie Ihre E-Mail schützen möchten, können Sie unseren PGP-Schlüssel verwenden.
  • AWS-Kundensupportrichtlinie für Penetrationstests: AWS-Kunden sind eingeladen, ohne vorherige Genehmigung ihre AWS-Infrastruktur für aufgeführte Services Sicherheitsbewertungen oder Penetrationstests zu unterziehen. Eine Anforderung der Autorisierung für andere simulierte Ereignisse sollte über das Formular "Simulierte Ereignisse" eingereicht werden Für Kunden, die in der Region AWS China (Ningxia & Peking) tätig sind, verwenden Sie bitte dieses Formular für simulierte Ereignisse.
  • AWS-Missbrauch: Falls Sie vermuten, dass AWS-Ressourcen (z. B. eine EC2-Instance oder ein S3-Bucket) für verdächtige Aktivitäten verwendet werden, können Sie dies dem AWS Abuse Team mithilfe des Formulars „Amazon AWS-Missbrauch melden“ oder durch Kontaktaufnahme mit abuse@amazonaws.com melden.
  • Informationen zur AWS-Compliance: Der Zugriff auf AWS-Konformitätsberichte ist über AWS Artifact verfügbar. Wenn Sie weitere Fragen zur AWS-Compliance haben, wenden Sie sich bitte über das Aufnahmeformular an das Team.
  • Amazon.com (Einzelhandel): Falls Sie eine Frage zur Sicherheit der Website Amazon.com (Einzelhandel), von Seller Central oder Amazon Payments, oder ein anderes damit zusammenhängendes Problem haben, z. B. verdächtige Bestellungen, ungültige Kreditkartenbelastungen, verdächtige E-Mails, oder Fehler beim Melden von Schwachstellen, besuchen Sie unsereSecurity for Retail-Internetseite.

Damit wir ggf. wirkungsvoller auf Ihre Meldung reagieren können, stellen Sie bitte sämtliche hilfreichen Informationen bereit (Code von Machbarkeitsnachweis, Ausgaben von Tools usw.), mit deren Hilfe wir Typ und Schweregrad der Schwachstelle bestimmen können.

Informationen, die Sie im Rahmen dieser Vorgehensweise an AWS weitergeben, werden innerhalb von AWS vertraulich behandelt. AWS gibt diese Informationen nur an Dritte weiter, wenn festgestellt wird, dass die von Ihnen gemeldete Sicherheitsanfälligkeit ein Produkt eines Drittanbieters betrifft. In diesem Fall geben wir diese Informationen an den Autor oder Hersteller des Drittanbieterprodukts weiter. Andernfalls gibt AWS diese Informationen nur wie von Ihnen erlaubt weiter.

AWS prüft den eingereichten Bericht und weist ihm eine Referenznummer zu. Anschließend antworten wir Ihnen, bestätigen den Eingang des Berichts und legen die nächsten Schritte im Prozess dar.

SLA für Analyse durch AWS

AWS hat sich verpflichtet, schnell zu antworten und Sie über unsere Fortschritte bei der Untersuchung bzw. Behebung Ihres gemeldeten Sicherheitsproblems laufend zu informieren. Innerhalb von 24 Stunden erhalten Sie eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in welcher der Empfang Ihrer gemeldeten Schwachstelle bestätigt wird. Mindestens alle fünf Geschäftstage (gemäß dem US-Kalender) erhalten Sie eine Statusaktualisierung.

Öffentliche Bekanntgabe

Sofern zutreffend, koordiniert AWS die öffentliche Bekanntgabe einer bestätigten Schwachstelle mit Ihnen. Wir ziehen es nach Möglichkeit vor, dass unsere jeweiligen öffentlichen Bekanntgaben gleichzeitig veröffentlicht werden.

Zum Schutz unserer Kunden bittet AWS Sie, keine Informationen zu einer potenziellen Schwachstelle zu veröffentlichen, bis wir die gemeldete Schwachstelle untersucht, darauf reagiert, uns ihrer angenommen und Kunden bei Bedarf informiert haben. Außerdem bitten wir Sie höflich, keine Daten zu veröffentlichen oder mit anderen zu teilen, die unseren Kunden gehören. Das Beheben einer gültigen gemeldeten Schwachstelle dauert einige Zeit, und der Zeitplan hängt vom Schweregrad der Schwachstelle und von den betroffenen Systemen ab.

AWS macht öffentliche Bekanntgaben in Form von Sicherheitsberichten, die im AWS-Sicherheitszentrum veröffentlicht werden. Einzelpersonen, Unternehmen und Sicherheitsteams veröffentlichen ihre Ratschläge zumeist auf ihren eigenen Websites oder in anderen Foren. Sofern relevant, fügen wir in AWS-Sicherheitsberichten Links zu den Ressourcen von Dritten hinzu.  

Safe Harbor

AWS ist der Ansicht, dass eine nach Treu und Glauben durchgeführte Sicherheitsuntersuchung mit großer Sorgfalt durchgeführt werden sollte. Wir haben die Kernbedingungen von Disclose.io unter den nachfolgend angegebenen Bedingungen übernommen und freuen uns darauf, mit Sicherheitsermittlern zusammenzuarbeiten, die unsere Leidenschaft für den Schutz von AWS-Kunden teilen.

Umfang

Die folgenden Aktivitäten sind für das AWS-Programm für Berichte zu Schwachstellen nicht zulässig. Die Durchführung einer der folgenden Aktivitäten führt zur dauerhaften Disqualifikation vom Programm.

  1. Das Anvisieren von Assets von AWS-Kunden oder Nicht-AWS-Sites, die in unserer Infrastruktur gehostet werden
  2. Jede Sicherheitsanfälligkeit, die durch die Gefährdung von AWS-Kunden- oder Mitarbeiterkonten entsteht
  3. Jeder Denial-of-Service-Angriff (DoS) gegen AWS-Produkte oder AWS-Kunden
  4. Physische Angriffe gegen AWS-Mitarbeiter, Büros und Rechenzentren
  5. Social Engineering von AWS-Mitarbeitern, Auftragnehmern, Anbietern oder Dienstleistern
  6. Das wissentliche Posten, Übertragen, Hochladen, Verknüpfen oder Senden von Malware
  7. Das Aufsuchen von Sicherheitslücken, die unerwünschte Massennachrichten senden (Spam)

Verschwiegenheitsrichtlinie

Nach Eingang des Berichts macht sich AWS an die Prüfung der gemeldeten Schwachstelle. Falls weitere Informationen bei der Bestätigung oder Reproduktion des Problems benötigt werden, wendet sich AWS zwecks Unterstützung an Sie. Nach Abschluss der Untersuchung erhalten Sie die Ergebnisse, zu denen ein Plan zur Behebung gehört. Außerdem erfolgt eine Besprechung der öffentlichen Bekanntgabe.

Hier einige Hinweise zum AWS-Prozess:

  1. Drittanbieterprodukte: Zahlreiche Anbieter bieten Produkte in der AWS-Cloud an. Wenn sich herausstellt, dass die Schwachstelle ein Produkt eines anderen Anbieters beeinträchtigt, informiert AWS den Eigentümer der betroffenen Software. AWS sorgt anschließend weiter für die Koordination zwischen Ihnen und dem anderen Anbieter. Ihre Identität wird diesem Anbieter nur mit Ihrer Erlaubnis preisgegeben.
  2. Bestätigung von nicht vorhandenen Schwachstellen: Wenn das Problem nicht bestätigt werden kann oder nicht aus einem AWS-Produkt stammt, erhalten Sie eine Mitteilung.
  3. Einstufung von Schwachstellen: AWS nutzt Version 3.1 des Common Vulnerability Scoring System (CVSS), um potenzielle Schwachstellen zu analysieren. Anhand des Ergebnisses kann der Schweregrad des Problems bestimmt und unsere Reaktion mit Prioritäten versehen werden. Weitere Informationen zu CVSS finden Sie auf der NVD-Website.
Wenden Sie sich an einen AWS-Kundenbetreuer
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Sicherheitsrollen?
Melden Sie sich jetzt an »
Möchten Sie Updates zu AWS Security erhalten?
Folgen Sie uns auf Twitter »