Sicherheit

Diese Seite beschreibt, wie du verantwortungsvoll Sicherheitslücken in Assets-Pilot meldest. Wir nehmen Sicherheitsforschung ernst.

Eine Lücke melden

Bitte melde Schwachstellen nicht über öffentliche Kanäle, sondern direkt per E-Mail an:

[email protected]

Maschinenlesbarer Kontakt: /.well-known/security.txt (RFC 9116).

Was wir erwarten

  • Beschreibung mit Reproduktionsschritten, Proof-of-Concept und betroffenen Endpoints.
  • Bei kritischen Lücken bitte keine automatisierten Scans gegen die Produktiv-Umgebung; nach Möglichkeit eigene Test-Instanz nutzen.
  • Keine Veröffentlichung der Lücke vor abgestimmter Disclosure.
  • Beim Testen nur eigene Testdaten verwenden — niemals Daten anderer Nutzer einsehen oder verändern (§§ 202a ff. StGB).

Was du von uns erwarten kannst

  • Bestätigung des Eingangs innerhalb von 72 Stunden (an Werktagen).
  • Erste inhaltliche Rückmeldung innerhalb von 7 Tagen.
  • Regelmäßige Status-Updates während der Bearbeitung.
  • Auf Wunsch namentliche Erwähnung in den Release-Notes nach Behebung.

Disclosure Policy

Wir arbeiten nach dem Coordinated-Disclosure-Modell:

  1. Du meldest die Lücke vertraulich.
  2. Wir prüfen, reproduzieren und bewerten (CVSSv3.1 als Orientierung).
  3. Fix wird entwickelt und ausgerollt.
  4. Nach Roll-out kann die Lücke öffentlich beschrieben werden — in Abstimmung mit dir.

Kein Bug-Bounty. Assets-Pilot ist Pre-Launch / B2B-SaaS — wir können aktuell keine monetären Belohnungen anbieten.

Außerhalb des Geltungsbereichs

  • Spam, Phishing-Mails an support@ oder andere Postfächer.
  • UI-Annoyances ohne Sicherheitsimpact (z. B. fehlende ARIA-Attribute, CSS-Glitches).
  • Fehlende Security-Header, die nur per Best-Practice-Scanner als „gelb" bewertet werden, ohne konkreten Exploit-Pfad.
  • Denial-of-Service durch massiven Traffic (verstößt gegen unsere AGB).
  • Self-XSS, Clickjacking auf Pages ohne sensitive Aktionen.

Technische Sicherheitsmaßnahmen

  • TLS 1.2+ wird erzwungen, alle Cookies sind HttpOnly + SameSite.
  • Passwörter werden mit password_hash() (bcrypt/argon2) gespeichert.
  • Session-Tokens als SHA-256-Hashes; CSRF-Token bei allen state-mutating Forms.
  • Brute-Force-Schutz mit IP-/Account-Throttling und Audit-Log.
  • PDO Prepared Statements gegen SQL-Injection in der gesamten App.
  • Tägliche Backups mit 30-Tage-Wiederherstellung.