Responsible Disclosure Policy
Die Sicherheit unserer Systeme und Daten ist uns wichtig. Wenn du eine Sicherheitslücke findest, bitten wir dich, diese verantwortungsvoll zu melden. Bitte nutze dafür unser Meldeformular oder den in unserer security.txt angegebenen Kontakt.
Ziel dieser Richtlinie
Diese Richtlinie beschreibt, wie Sicherheitsforscher potenzielle Schwachstellen in unseren öffentlich erreichbaren Systemen melden können. Sie soll helfen, Sicherheitsprobleme schnell, nachvollziehbar und verantwortungsvoll zu bearbeiten.
In Scope
- Öffentlich erreichbare Webanwendungen unter unseren Domains
- Öffentlich erreichbare API-Endpunkte
- Authentifizierungs- und Autorisierungsprüfungen mit eigenen Testkonten
- Schwachstellen wie XSS, CSRF, Injection, IDOR, Fehlkonfigurationen und ähnliche Sicherheitsprobleme
- Offensichtliche Leaks von sensitiven Informationen durch Fehlkonfigurationen
Out of Scope
- Denial-of-Service, Lasttests, Stress-Tests oder jede Form von Verfügbarkeitsangriffen
- Social Engineering, Phishing, Vishing oder physische Angriffe
- Brute-Force-Angriffe, Credential Stuffing oder Passwort-Spraying
- Malware, Ransomware oder persistente Payloads
- Änderung, Löschung oder Manipulation fremder Daten
- Zugriff auf personenbezogene Daten oder Inhalte anderer Benutzer
- Automatisiertes Scanning in aggressiver oder störender Intensität
- Tests gegen Drittanbieter-Systeme, die nicht von uns betrieben werden
Erlaubtes Verhalten
- Nur minimal notwendige Schritte zur Verifikation durchführen
- Nur Testdaten oder eigene Konten verwenden
- Keine Daten exfiltrieren, speichern oder veröffentlichen
- Schwachstellen vertraulich behandeln, bis wir sie behoben haben
- Uns ausreichend Zeit für Analyse und Behebung geben
- Alle Schritte zur Reproduktion möglichst klar dokumentieren
So meldest du eine Schwachstelle
Eine gute Meldung enthält idealerweise:
- einen klaren Kurztitel
- betroffene URL, Funktion oder API
- Beschreibung des Problems
- Schritte zur Reproduktion
- Auswirkung / Impact
- optional Proof of Concept oder Screenshots
- optional Vorschlag zur Behebung
Reaktionszeiten
- Eingangsbestätigung: so zeitnah wie möglich
- Erste Einschätzung: nach interner Prüfung
- Behebung: abhängig von Schweregrad, Risiko und technischer Komplexität
Die tatsächliche Bearbeitungszeit kann je nach Umfang, Reproduzierbarkeit und Auswirkung der Meldung variieren.
Safe Harbor
Wenn du nach bestem Wissen und Gewissen im Rahmen dieser Richtlinie handelst, die Verfügbarkeit unserer Systeme nicht beeinträchtigst, keine Daten missbrauchst und eine gefundene Schwachstelle vertraulich meldest, betrachten wir dein Vorgehen als verantwortungsvolle Sicherheitsforschung.
Das gilt nicht für destruktive Tests, Zugriffe auf fremde Daten, Umgehung dieser Richtlinie oder Aktivitäten außerhalb des erlaubten Rahmens.
Disclosure
Bitte veröffentliche Details zu einer Schwachstelle nicht vor einer Abstimmung mit uns und nicht, solange das Problem noch nicht behoben ist oder geeignete Schutzmaßnahmen fehlen.
Kontakt
Bitte verwende bevorzugt unser Formular unter Security Report
Alternativ kannst du uns per E-Mail kontaktieren: [email protected]
Hinweis
Sofern nicht ausdrücklich anders angegeben, stellt diese Richtlinie kein Bug-Bounty-Programm dar und begründet keinen Anspruch auf Vergütung, Anerkennung oder vertragliche Beziehung.