Security Disclosure

Security Disclosure / Vulnerability Reporting

Wenn du eine Schwachstelle findest, melde sie bitte verantwortungsvoll. Wir reagieren zeitnah, koordinieren die Behebung und stimmen eine Veröffentlichung ab.

E-Mail senden Kontaktformular
Bitte sende keine sensiblen Daten. Für kritische Themen stimmen wir ggf. einen sicheren Kanal ab.
Response targets
Bestätigung
≤ 2 Werktage
Erste Triage
≤ 5 Werktage
Updates
alle 14 Tage
Scope
Sentinel-X Assets
Koordinierte Offenlegung
Wir stimmen Fix + Veröffentlichung gemeinsam ab.

So meldest du eine Schwachstelle

Nutze E-Mail oder das Kontaktformular. Je strukturierter der Report, desto schneller können wir reagieren.

Report
Was wir brauchen

Bitte sende — wenn möglich — einen reproduzierbaren Ablauf (PoC) und eine kurze Impact-Einschätzung.

  • Betroffene URL/Komponente + Umgebung (Prod/Staging)
  • Schritte zur Reproduktion (PoC), erwartet vs. tatsächlich
  • Impact (z.B. Datenzugriff, Account takeover, Privilege Escalation)
  • Optional: Fix-Idee / Mitigation
  • Keine sensiblen Daten anhängen (minimale Beispiele)
E-Mail senden Kontaktformular
Rules
Regeln fürs Testen

Gutgläubige Forschung ist willkommen — solange keine Schäden entstehen und du dich an diese Grenzen hältst.

  • Kein DoS/DDoS, keine Last-/Stress-Tests
  • Kein Social Engineering (Phishing, Vishing, Mitarbeitende)
  • Keine persistente Veränderung, kein Löschen/Manipulieren von Daten
  • Keine massenhafte Exfiltration — nur minimaler Nachweis
  • Wenn möglich: eigene Testdaten / eigene Accounts nutzen

Wenn du unsicher bist, ob ein Test okay ist: melde dich kurz vorher.

Scope & Safe Harbor

Was dazugehört, was nicht — und wie wir mit gutgläubigen Meldungen umgehen.

In scope
Systeme von Sentinel-X
  • sentinel-x.org / sentinel-x.com und Subdomains, die von uns betrieben werden
  • Öffentliche Webapps, APIs und statische Inhalte unter unseren Domains
  • Konfigurations-/Header-Themen (CSP, CORS, Auth, Session, Zugriffskontrolle)
Out of scope
Bitte nicht testen
  • Drittanbieter-Services, die nicht ausdrücklich genannt sind
  • Physische Angriffe, Social Engineering, Erpressung
  • DoS/DDoS, Lasttests, Spam
  • Automatisiertes Scannen mit hoher Frequenz ohne Abstimmung
Safe Harbor
Gutgläubige Meldung

Wenn du dich an diese Policy hältst, den Impact minimierst und uns die Details vertraulich sendest, verfolgen wir nach bestem Wissen keine rechtlichen Schritte gegen dich.

  • Keine Veröffentlichung ohne Abstimmung
  • Nur minimaler Nachweis, keine Datenausleitung
  • Zeitnahe Meldung an uns

Ablauf

Wie wir Reports bearbeiten – transparent und nachvollziehbar.

1 · Eingang

Wir bestätigen den Eingang und legen ein Ticket an.

2 · Triage

Reproduktion, Schweregrad, betroffene Komponenten.

3 · Fix

Patch/Hardening, Tests, Rollout – mit Statusupdates.

4 · Disclosure

Koordinierte Veröffentlichung + optional Credits.

Report einreichen

E-Mail ist am schnellsten. Alternativ: Kontaktformular (landet bei uns im selben Postfach).

Bitte keine sensiblen Daten per Mail. Für kritische Themen: nur über abgesprochene sichere Kanäle.
E-Mail senden Kontaktformular
Kontakt