Skip to main content

Zuletzt aktualisiert: 2026-05-21

Sicherheit & Schwachstellenmeldung

Wir nehmen die Sicherheit der Daten unserer Kunden ernst. Wenn Sie der Meinung sind, eine Sicherheitslücke in einem Dienst der ELLYTIC Technologies UG (haftungsbeschränkt) gefunden zu haben, ermutigen wir Sie, diese gemäß der unten stehenden Richtlinie zu melden. Wir verpflichten uns, in gutem Glauben mit Forschern zusammenzuarbeiten und gültige Meldungen anzuerkennen.

Im Geltungsbereich

Die folgenden ELLYTIC-Eigenschaften fallen in den Geltungsbereich für Sicherheitsmeldungen:

  • ellytic.com und alle Subdomains (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • API-Endpunkte unter ellytic.com/api/* und app.ellytic.com/api/*
  • Authentifizierungsabläufe, einschließlich OAuth, Magic-Link und TOTP MFA
  • Kunden-Dashboards und Bestellabläufe
  • Wizard-Checkout, Zahlung und Dokument-Upload-Abläufe

Außerhalb des Geltungsbereichs

Folgendes liegt ausdrücklich außerhalb des Geltungsbereichs, und entsprechende Meldungen werden nicht für eine Anerkennung in Frage kommen:

  • Denial-of-Service- (DoS / DDoS) Angriffe und volumetrische Tests
  • Social Engineering, Phishing oder physische Angriffe gegen Mitarbeiter, Auftragnehmer oder Kunden
  • Befunde von automatischen Scannern ohne funktionierenden Proof-of-Concept (z. B. fehlende Sicherheits-Header ohne ausnutzbare Auswirkung)
  • Best-Practice- oder Härtungsvorschläge ohne konkrete Schwachstelle (z. B. CSP-Anpassungen, TLS-Cipher-Präferenzen)
  • Meldungen zu Drittanbieter-Diensten, die wir nicht betreiben (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) – melden Sie diese direkt beim Anbieter
  • Probleme, die physischen Zugriff auf das entsperrte Gerät eines Opfers erfordern
  • Self-XSS oder Schwachstellen, die für die Ausnutzung Konfigurationsänderungen des Opfers erfordern
  • Offenlegung veralteter Software (CVE in einer Abhängigkeit) ohne nachgewiesenen Exploit-Pfad in unserer Umgebung

So melden Sie

Senden Sie einen detaillierten Bericht an security@ellytic.com. Geben Sie genügend Informationen an, damit wir das Problem schnell reproduzieren und triagieren können. PGP-Verschlüsselung wird auf Anfrage unterstützt.

Bitte legen Sie das Problem nicht öffentlich offen, bevor wir die Behebung bestätigt haben. Wir verpflichten uns zu einer öffentlichen Anerkennung (mit Ihrem Einverständnis), sobald ein Fix bereitgestellt wurde.

  • Betroffene URL, Endpunkt oder Komponente
  • Schritt-für-Schritt-Reproduktion (Befehle, Payloads, erwartetes vs. tatsächliches Verhalten)
  • Auswirkungsbewertung – welche Daten oder Funktionalitäten sind gefährdet?
  • Ihre Kontaktdaten und wie Sie anerkannt werden möchten (Klarname, Pseudonym oder anonym)
  • Unterstützende Screenshots, Videos oder HTTP-Request-Logs (bitte schwärzen Sie Daten Dritter)

Safe Harbor

Wir werden weder zivilrechtliche Schritte einleiten noch Strafverfolgungsbehörden einschalten bei Forschung in gutem Glauben, die dieser Richtlinie entspricht. „In gutem Glauben" bedeutet:

  • Sie bemühen sich ernsthaft, Datenschutzverletzungen, Datenvernichtung und Dienstunterbrechungen zu vermeiden
  • Sie stellen das Testen ein, sobald Sie festgestellt haben, dass eine Schwachstelle existiert, und melden diese
  • Sie greifen nicht auf Daten zu, modifizieren oder laden diese herunter, die über das zur Demonstration des Problems notwendige Minimum hinausgehen
  • Sie zielen nur auf Ihre eigenen Testkonten ab – niemals auf Daten anderer Kunden
  • Sie nutzen das Problem nicht zu Profitzwecken aus und teilen es nicht mit Dritten vor der Offenlegung
  • Sie geben uns ein angemessenes Zeitfenster (siehe Reaktionszeiten unten) zur Behebung vor einer öffentlichen Offenlegung

Unsere Reaktionszeiten

Wir streben an, auf Sicherheitsmeldungen innerhalb dieser Zielwerte zu reagieren. Kritische Probleme haben Vorrang vor geplanten Arbeiten.

  • Erste Bestätigung: innerhalb von 2 Werktagen
  • Triage und Schweregradbewertung: innerhalb von 5 Werktagen
  • Status-Updates während der Behebung: mindestens alle 14 Tage
  • Behebungsziel (kritisch / hoch): 30 Tage ab Bestätigung
  • Behebungsziel (mittel / niedrig): 90 Tage ab Bestätigung
  • Öffentliche Offenlegung: koordiniert mit dem Melder, typischerweise nach Bereitstellung eines Fixes

Belohnungen

ELLYTIC betreibt derzeit kein bezahltes Bug-Bounty-Programm. Wir würdigen gültige Meldungen öffentlich (mit Ihrem Einverständnis) auf dieser Seite und in unserer Hall of Fame. Im Zuge unseres Wachstums planen wir, monetäre Belohnungen für hochwirkungsvolle Befunde einzuführen – Melder qualifizierter Berichte werden dabei vorrangig eingeladen.

Danksagungen

Wir danken allen Forschern, die uns Probleme verantwortungsvoll gemeldet haben. Melder werden hier mit deren Einverständnis aufgeführt. (Bisher keine öffentlichen Meldungen – seien Sie der Erste.)

Kontakt

Alle sicherheitsbezogene Korrespondenz sollte an security@ellytic.com gerichtet werden.

  • E-Mail: security@ellytic.com
  • Maschinenlesbar: /.well-known/security.txt (RFC 9116)
  • Bevorzugte Sprachen: Englisch, Deutsch
  • Postanschrift: ELLYTIC Technologies UG (haftungsbeschränkt), siehe Impressum für die vollständige Adresse
Zurück zur Startseite