Dienststelle Informatik

Vulnerability Disclosure Policy (VDP)

Der Kanton Luzern / die Dienststelle Informatik ist bestrebt, Sicherheitsmängel in seinen IT-Systemen rasch zu identifizieren und zu beheben. Hinweise auf Schwachstellen nehmen wir entgegen und prüfen diese sorgfältig.

Kontakt
Bitte melden Sie Schwachstellen an: itsecurity@lu.ch.

Geltungsbereich
Diese Policy gilt für öffentlich erreichbare Systeme und Online-Dienste unter:

*.lu.ch
*.edulu.ch
*.sluz.ch

Sofern unklar ist, ob ein Dienst in unserem Verantwortungsbereich liegt (z.B. Drittanbieterleistungen), bitten wir dennoch um eine Meldung; wir klären die Zuständigkeit und koordinieren das weitere Vorgehen.

Inhalt einer Meldung
Bitte senden Sie – soweit möglich – folgende Angaben:

betroffene URL/Host sowie Zeitpunkt der Feststellung
nachvollziehbare Schritte zur Reproduktion (Proof of Concept)
erwartetes vs. tatsächliches Verhalten
Einschätzung der Auswirkung (z.B. unberechtigter Zugriff, Rechteausweitung, Datenzugriff)

Grundsätze für zulässige Tests (Good-Faith)
Zulässig sind Tests, die zur Verifikation erforderlich sind und den Betrieb nicht beeinträchtigen. Nicht zulässig sind insbesondere:

Denial-of-Service (DoS/DDoS), Last- oder Stresstests, ressourcenintensive Scans
Social Engineering (z.B. Phishing, Vishing, Smishing)
Brute Force / Credential Stuffing, Umgehung von Authentifizierungsmechanismen (inkl. MFA)
Veränderung, Löschung oder dauerhafte Manipulation von Daten
massenhaftes Auslesen oder Exfiltration von (personenbezogenen) Daten

Sollten Sie unbeabsichtigt auf fremde oder personenbezogene Daten stossen, sind die Tests umgehend zu stoppen und der Sachverhalt zu melden.

Safe Harbor
Sofern Sie diese Policy einhalten und in gutem Glauben handeln, betrachten wir Ihre Aktivitäten als verantwortungsvolle Sicherheitsforschung. Der Kanton Luzern strebt in diesem Rahmen keine rechtlichen Schritte aufgrund der zur Meldung notwendigen Handlungen an.

Koordinierte Offenlegung
Wir bitten, technische Details zu gemeldeten Schwachstellen nicht zu veröffentlichen, bevor eine Behebung umgesetzt oder ein Veröffentlichungszeitpunkt mit uns abgestimmt wurde.

Vulnerability Disclosure Policy (VDP) - English

The Canton of Lucerne / the IT Services organisation aims to identify and remediate security issues in its IT systems as quickly as possible. We welcome reports of vulnerabilities and will review them carefully.

Contact
Please report vulnerabilities to: itsecurity@lu.ch.

Scope
This policy applies to publicly accessible systems and online services under:

*.lu.ch
*.edulu.ch
*.sluz.ch

If it is unclear whether a service is operated under our responsibility (e.g., third-party services), please report it anyway; we will clarify ownership and coordinate the next steps.

What to include in a report
Where possible, please provide:

affected URL/host and the time of observation
clear steps to reproduce (proof of concept)
expected vs. actual behaviour
impact assessment (e.g., unauthorised access, privilege escalation, data exposure)

Good-faith testing principles
Testing is permitted if it is necessary for verification and does not disrupt operations. In particular, the following is not permitted:

denial-of-service (DoS/DDoS), load/stress testing, resource-intensive scanning
social engineering (e.g., phishing, vishing, smishing)
brute force / credential stuffing, bypassing authentication mechanisms (including MFA)
modifying, deleting, or persistently altering data
bulk extraction or exfiltration of (personal) data

If you inadvertently encounter personal or third-party data, stop testing immediately and report the situation.

Safe Harbor
If you follow this policy and act in good faith, we consider your activities responsible security research. Within this framework, the Canton of Lucerne does not seek legal action for the actions necessary to report the vulnerability.

Coordinated Disclosure
Please do not publicly disclose technical details of a vulnerability before a fix is implemented or a disclosure date has been agreed with us.