Sicherheit
Diese Seite beschreibt, wie du verantwortungsvoll Sicherheitslücken in Assets-Pilot meldest. Wir nehmen Sicherheitsforschung ernst.
Eine Lücke melden
Bitte melde Schwachstellen nicht über öffentliche Kanäle, sondern direkt per E-Mail an:
Maschinenlesbarer Kontakt: /.well-known/security.txt (RFC 9116).
Was wir erwarten
- Beschreibung mit Reproduktionsschritten, Proof-of-Concept und betroffenen Endpoints.
- Bei kritischen Lücken bitte keine automatisierten Scans gegen die Produktiv-Umgebung; nach Möglichkeit eigene Test-Instanz nutzen.
- Keine Veröffentlichung der Lücke vor abgestimmter Disclosure.
- Beim Testen nur eigene Testdaten verwenden — niemals Daten anderer Nutzer einsehen oder verändern (§§ 202a ff. StGB).
Was du von uns erwarten kannst
- Bestätigung des Eingangs innerhalb von 72 Stunden (an Werktagen).
- Erste inhaltliche Rückmeldung innerhalb von 7 Tagen.
- Regelmäßige Status-Updates während der Bearbeitung.
- Auf Wunsch namentliche Erwähnung in den Release-Notes nach Behebung.
Disclosure Policy
Wir arbeiten nach dem Coordinated-Disclosure-Modell:
- Du meldest die Lücke vertraulich.
- Wir prüfen, reproduzieren und bewerten (CVSSv3.1 als Orientierung).
- Fix wird entwickelt und ausgerollt.
- Nach Roll-out kann die Lücke öffentlich beschrieben werden — in Abstimmung mit dir.
Kein Bug-Bounty. Assets-Pilot ist Pre-Launch / B2B-SaaS — wir können aktuell keine monetären Belohnungen anbieten.
Außerhalb des Geltungsbereichs
- Spam, Phishing-Mails an
support@oder andere Postfächer. - UI-Annoyances ohne Sicherheitsimpact (z. B. fehlende ARIA-Attribute, CSS-Glitches).
- Fehlende Security-Header, die nur per Best-Practice-Scanner als „gelb" bewertet werden, ohne konkreten Exploit-Pfad.
- Denial-of-Service durch massiven Traffic (verstößt gegen unsere AGB).
- Self-XSS, Clickjacking auf Pages ohne sensitive Aktionen.
Technische Sicherheitsmaßnahmen
- TLS 1.2+ wird erzwungen, alle Cookies sind HttpOnly + SameSite.
- Passwörter werden mit
password_hash()(bcrypt/argon2) gespeichert. - Session-Tokens als SHA-256-Hashes; CSRF-Token bei allen state-mutating Forms.
- Brute-Force-Schutz mit IP-/Account-Throttling und Audit-Log.
- PDO Prepared Statements gegen SQL-Injection in der gesamten App.
- Tägliche Backups mit 30-Tage-Wiederherstellung.