Richtlinie zur verantwortungsvollen Offenlegung
Wir nehmen Sicherheit sehr ernst und schätzen die Unterstützung der Community, um den Schutz unserer Systeme kontinuierlich zu verbessern.
Unser Engagement
Die Sicherheit unserer Systeme und der Schutz der Daten unserer Kunden haben für uns höchste Priorität. Wir ermutigen Sicherheitsforscher, uns verantwortungsvoll über jede Schwachstelle zu informieren, die sie entdecken.
Geltungsbereich
Diese Richtlinie gilt für unsere Website, unsere Anwendungen, Online-Dienste und öffentlich zugänglichen APIs.
Was wir von Ihnen erwarten
Wenn Sie eine Schwachstelle entdecken, bitten wir Sie:
- Uns umgehend zu kontaktieren über die in unserer security.txt-Datei angegebenen Kontaktdaten
- Die Schwachstelle nicht öffentlich offenzulegen, bevor wir ausreichend Zeit hatten, sie zu beheben
- Die Schwachstelle nicht auszunutzen, über das hinaus, was zur Demonstration erforderlich ist
- Nicht auf Daten anderer Nutzer zuzugreifen, diese zu verändern oder zu löschen
- Unsere Dienste oder Infrastruktur nicht zu beeinträchtigen
Unser Engagement Ihnen gegenüber
- Wir bestätigen den Eingang Ihrer Meldung innerhalb von 3 Werktagen
- Wir halten Sie über den Fortschritt der Behebung auf dem Laufenden
- Wir leiten keine rechtlichen Schritte gegen Forscher ein, die in gutem Glauben handeln und diese Richtlinie einhalten
- Wir nennen Sie auf Wunsch bei der Kommunikation über die Behebung
Schwachstellen außerhalb des Geltungsbereichs
Die folgenden Punkte sind nicht durch diese Richtlinie abgedeckt:
- Denial-of-Service-Angriffe (DoS/DDoS)
- Social Engineering oder Phishing gegen unsere Mitarbeitenden
- Physische Angriffe auf unsere Räumlichkeiten oder Geräte
- Schwachstellen in Drittanbieterdiensten, die wir nutzen
Kontakt
Die Kontaktdaten zur Meldung einer Schwachstelle finden Sie in unserer security.txt-Datei.
Bitte stellen Sie so viele Details wie möglich bereit: Beschreibung der Schwachstelle, Schritte zur Reproduktion, potenzielle Auswirkungen und Vorschläge zur Behebung.