Richtlinie zur Schwachstellenmeldung

Zuletzt aktualisiert am 20. März 2025

Dieses Dokument ist nur in der englischen und deutschen Fassung rechtswirksam. Übersetzungen in andere Sprachen werden lediglich zu Informationszwecken bereitgestellt.

Wir nehmen die Sicherheit unserer Systeme ernst und wissen die Sicherheitsgemeinschaft zu schätzen. Die Meldung von Sicherheitslücken hilft uns, Datenschutz und Sicherheit unserer Nutzer zu gewährleisten.

Grundsätze

Wir erwarten von allen Sicherheitsforschern:

  • Bei Sicherheitstests alles zu unternehmen, um Datenschutzverstöße, Minderungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Zerstörung von Daten zu verhindern
  • Ausschließlich im unten angegebenen Geltungsbereich zu forschen
  • Informationen zu Schwachstellen über die angegebenen Kommunikationskanäle zu melden
  • Wenn Sie eine Schwachstelle festgestellt haben, Skillhabit 90 Tage lang Zeit zur Problembehebung zu geben und entsprechende Informationen so lange vertraulich zu behandeln

Wenn Sie diese Grundsätze in Bezug auf die Schwachstellenmeldung befolgen, verpflichten wir uns unsererseits:

  • Keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung zu unternehmen oder zu unterstützen
  • Mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen (einschließlich einer Eingangsbestätigung zu Ihrer Meldung innerhalb von 72 Stunden)
  • Ihren Beitrag in unsere Hall of Fame für Sicherheitsforscher aufzunehmen, wenn Sie das Problem als Erster melden und wir aufgrund Ihrer Meldung Änderungen an Code oder Konfiguration vornehmen

Geltungsbereich

skillhabit.com

Außerhalb des Geltungsbereichs

Von Drittanbietern gehostete Dienste sind vom Geltungsbereich ausgeschlossen. Hierzu gehören:

AppSentry

BunnyCDN

Simple Analytics

RapidMail

Graylog

Nets (DIBS)

Stripe

Im Sicherheitsinteresse unserer Nutzer- und Belegschaft, des Internets im Allgemeinen und der Sicherheitsforscher sind die folgenden Testarten vom Geltungsbereich ausgenommen:

  • Ergebnisse physischer Tests, z. B. des Bürozugangs (offene Türen, Tailgating o. Ä.)
  • Erkenntnisse, die in erster Linie auf Social Engineering (z. B. Phishing, Vishing) zurückzuführen sind
  • Ergebnisse aus Anwendungen oder Systemen, die nicht im Abschnitt "Geltungsbereich" aufgeführt sind
  • UI- und UX-Bugs sowie Rechtschreibfehler
  • Denial-of-Service-Schwachstellen auf Netzwerkebene (DoS/DDoS)

Was wir ausdrücklich nicht bekommen wollen:

  • Personenbezogene Daten
  • Daten des Kreditkarteninhabers

Wie Sie Schwachstellen melden

Wenn Sie glauben, in einem unserer Produkte oder einer unserer Plattformen eine Schwachstelle festgestellt zu haben, schicken Sie bitte eine E-Mail an security@skillhabit.com. Bitte machen Sie dabei die folgenden Angaben:

  • Ort und mögliche Auswirkungen der Schwachstelle
  • Detaillierte Beschreibung der Schritte, die zur Reproduktion der Schwachstelle erforderlich sind (POC-Skripte, Screenshots und komprimierte Bildschirmaufnahmen sind hilfreich)
  • Ihr Name/Handle und ein Link zur Nennung in unserer Hall of Fame

Sie möchten mehr über unsere Lösungen erfahren?

Sehr gerne.
Gespräch vereinbaren

Mit unserem Newsletter immer up to date bleiben

Danke, dass Sie sich gemeldet haben!
Wir sprechen uns bald wieder.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.
Demo buchen

Demo buchen

Danke, dass Sie sich gemeldet haben!
Wir sprechen uns bald wieder.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.