1. Einleitung
Diese Website sowie die damit verbundenen technischen Systeme werden betrieben von der Chrood UG (haftungsbeschränkt).
Der Schutz unserer Systeme, Anwendungen und Daten hat für uns einen hohen Stellenwert. Wir treffen angemessene technische und organisatorische Maßnahmen, um Sicherheitsrisiken zu minimieren und unbefugte Zugriffe zu verhindern. Dennoch lassen sich Sicherheitslücken auch bei größter Sorgfalt nicht vollständig ausschließen.
Mit dieser Richtlinie möchten wir Dir transparent erläutern,
- wie wir technische Sicherheit verstehen,
- wie mit Sicherheitslücken umzugehen ist,
- und wie Du uns verantwortungsvoll auf mögliche Schwachstellen hinweisen kannst.
2. Technische Sicherheit – Unsere Herangehensweise
Die Sicherheit unserer Systeme ist ein fortlaufender Prozess. Wir setzen Maßnahmen ein, die dem aktuellen Stand der Technik entsprechen, um Verfügbarkeit, Integrität und Vertraulichkeit unserer Systeme zu gewährleisten.
Dazu gehören unter anderem:
- der Einsatz verschlüsselter Verbindungen (z. B. TLS),
- Zugriffsbeschränkungen und Berechtigungskonzepte,
- Überwachungs- und Protokollierungsmechanismen,
- regelmäßige Wartung und Aktualisierung eingesetzter Systeme.
Diese Maßnahmen dienen sowohl dem Schutz unserer Infrastruktur als auch dem Schutz der Daten von Nutzern, Kunden und Partnern.
3. Zweck der Meldung von Sicherheitslücken (Responsible Disclosure)
Trotz aller Vorkehrungen kann es vorkommen, dass Sicherheitslücken entdeckt werden. Eine verantwortungsvolle und koordinierte Meldung hilft uns dabei, Risiken frühzeitig zu erkennen und zu beheben, bevor Schaden entsteht.
Diese Richtlinie beschreibt den Rahmen, unter dem wir Hinweise auf Sicherheitslücken entgegennehmen und bearbeiten.
4. Meldung von Sicherheitslücken
Wenn Du eine mögliche Sicherheitslücke in unseren Systemen entdeckst, bitten wir Dich, diese ausschließlich über help@chrood.com, den in unserer security.txt angegebenen Kontakt, zu melden.
Bitte übermittle dabei möglichst:
- eine verständliche Beschreibung der Schwachstelle,
- Angaben zu betroffenen Systemen, Funktionen oder Endpunkten,
- technische Details, die uns eine Nachvollziehbarkeit und Prüfung ermöglichen.
Je präziser die Angaben sind, desto schneller können wir die Meldung bewerten.
5. Zulässiger Rahmen von Untersuchungen
Untersuchungen im Sinne dieser Richtlinie sind nur dann zulässig, wenn sie:
- keine absichtliche Beeinträchtigung unserer Systeme, Dienste oder Infrastruktur verursachen,
- keine personenbezogenen oder sonstigen vertraulichen Daten einsehen, verändern, speichern, löschen oder weitergeben,
- keine Denial-of-Service-Angriffe, Lasttests oder vergleichbare Belastungen beinhalten,
- keine Social-Engineering-Methoden (z. B. Phishing oder Täuschung von Mitarbeitenden) verwenden.
Untersuchungen, die über diesen Rahmen hinausgehen, sind nicht von dieser Richtlinie gedeckt.
6. Vertrauliche Behandlung von Sicherheitslücken
Wir erwarten, dass gemeldete Sicherheitslücken vertraulich behandelt und nicht veröffentlicht oder an Dritte weitergegeben werden, bevor wir angemessene Maßnahmen zur Prüfung und Behebung ergreifen konnten.
Eine öffentliche Offenlegung ohne vorherige Abstimmung kann rechtliche Konsequenzen nach sich ziehen.
7. Rechtlicher Hinweis
Diese Richtlinie stellt keine vertragliche Zusicherung dar und begründet keinen Anspruch auf Straffreiheit oder Haftungsfreistellung.
Sofern eine Untersuchung im Rahmen dieser Richtlinie erfolgt und keine vorsätzliche oder grob fahrlässige Schädigung verursacht wird, behalten wir uns vor, von rechtlichen Schritten abzusehen. Eine automatische Zusage hierfür besteht jedoch nicht.
8. Kein Anspruch auf Vergütung
Die Meldung von Sicherheitslücken begründet keinen Anspruch auf Vergütung, Prämien oder sonstige Gegenleistungen, sofern nicht ausdrücklich und schriftlich etwas anderes vereinbart wurde.
9. Aktualität der Richtlinie
Der aktuelle Stand dieser Sicherheitsrichtlinie richtet sich nach der jeweils auf unserer Website veröffentlichten Fassung.
Wir behalten uns vor, diese Richtlinie jederzeit anzupassen oder zu ergänzen.