Responsible Disclosure Policy

Diese Responsible Disclosure Policy ist keine vertragliche Vereinbarung und begründet keine rechtlichen Ansprüche. Sie dient als unverbindliche Handlungsanweisung für Sicherheitsforscher, die verantwortungsvoll mit möglichen Schwachstellen umgehen möchten.

Melde uns Sicherheitslücken

Danke, dass du eine mögliche Sicherheitslücke in unserem System melden möchtest. Damit wir das Problem schnell nachvollziehen und beheben können, sende uns eine E-Mail an:

it-sec@klicktipp.com

Deine E-Mail sollte folgende Informationen enthalten:

  • Beschreibung der Schwachstelle: Was ist dir aufgefallen und warum hältst du es für sicherheitsrelevant?
  • Schritte zur Reproduktion: Wie können wir das Verhalten zuverlässig nachstellen?
  • Potenzielle Auswirkungen: Welche Risiken könnten durch die Schwachstelle entstehen?
  • Optionale Kontaktinformationen: Sende uns Deine Kontaktdaten, um Dich bei Rückfragen zu kontaktieren.

Erlaubte und nicht erlaubte Handlungen

Erlaubt Nicht erlaubt
Nicht-destruktive Sicherheitstests
Brute-Force
Nutzung eigener Testkonten
Denial-of-Service
Proof-of-Concepts ohne Weitergabe oder Einsichtnahme in Daten Dritter
Social Engineering / Phishing
Umgehung von Datenschutzvorgaben
Zugriff auf fremde Konten oder Daten

Geltungsbereich

Diese Policy bezieht sich ausschließlich auf Dienste und Systeme unter klicktipp.com, klick-tipp.com sowie deren Sub-Domains.

Ablauf & Fristen

  • Eingangsmeldungen werden i. d. R. innerhalb von 7 Tagen bestätigt.
  • Priorisierung und Bewertung durch das interne Security-Team.
  • Ziel: Behebung innerhalb von 60 Tagen.
  • Veröffentlichung durch den Researcher ist erst nach Abstimmung und nach Fix möglich.

Rechtliche Hinweise

  • Diese Policy vermittelt keine rechtliche Immunität, weder gegenüber staatlichen Stellen noch gegenüber Dritten.
  • Sie stellt kein Versprechen dar, von rechtlichen Schritten abzusehen.
  • Bei Verstößen, insbesondere bei unautorisiertem Zugriff auf personenbezogene Daten oder anderen unerlaubten Handlungen, behält sich KlickTipp ausdrücklich rechtliche Schritte vor.
  • Die Einhaltung der Policy kann positiv berücksichtigt werden, begründet aber keinen rechtlichen Anspruch.

Bug-Bounty-Programm

Klassifizierung nach CVSS 3.1:

  • Critical (9.0–10.0) → bis zu 1.500 €
  • High (7.0–8.9) → bis zu 750 €
  • Medium (4.0–6.9) → bis zu 300 €
  • Low (0.1–3.9) → bis zu 100 €
  • Informational / Best Practice → Eintrag in der Hall of Fame (falls gewünscht)

Vorraussetzungen für eine Ausschüttung:

  • Ausschüttungen erfolgen freiwillig und ohne Rechtsanspruch.
  • Die endgültige Entscheidung über Art und Höhe liegt alleinig bei Klick-Tipp Ltd.
  • Voraussetzung ist, dass die Meldung
    • erstmalig erfolgt,
    • reproduzierbar ist,
    • keine rechtlichen Vorgaben verletzt,
    • den Responsible-Disclosure-Prozess einhält.

Anerkennung

Mit Zustimmung der meldenden Person kann deren Name in unserem Hall of Fame aufgeführt werden.