Sicherheitslücke in unseren Systemen entdeckt?

Einleitung

Wir bei Wilma Digital GmbH begrüßen Feedback von Sicherheitsforschern und der allgemeinen Öffentlichkeit, um unsere Sicherheit zu verbessern. Wenn Sie glauben, eine Schwachstelle, ein Datenschutzproblem, exponierte Daten oder andere Sicherheitsprobleme in einem unserer Systeme entdeckt zu haben, möchten wir davon erfahren.

Diese Richtlinie beschreibt, wie Sie Schwachstellen an uns melden können, was wir erwarten und was Sie von uns erwarten können.

Offizielle Kontaktkanäle

Um eine Sicherheitslücke zu melden, kontaktieren Sie uns bitte per E-Mail:

Betroffene Systeme

Diese Richtlinie gilt für alle digitalen Assets, die von Wilma Digital GmbH betrieben, besessen oder verwaltet werden. Dazu gehören:

• Alle Domains unter wilma.tech und zugehörige Subdomains
• Von uns entwickelte und gehostete Kundenplattformen (nur nach ausdrücklicher Zustimmung des Kunden)
• Öffentlich zugängliche APIs und Schnittstellen
• Interne Systeme, die versehentlich exponiert wurden

Nicht im Geltungsbereich

Assets oder Systeme, die nicht im Besitz von Wilma Digital GmbH sind. Schwachstellen, die in nicht betroffenen Systemen entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Ebenfalls nicht im Geltungsbereich:

• Physische Tests (z.B. Zugang zum Büro, offene Türen, Tailgating)
• Social Engineering (z.B. Phishing, Vishing)
• Jede andere nicht-technische Schwachstellenprüfung

Unsere Verpflichtungen

Wenn Sie mit uns gemäß dieser Richtlinie zusammenarbeiten, können Sie von uns erwarten:

• Zeitnahe Antwort auf Ihren Bericht und Zusammenarbeit mit Ihnen zur Validierung
• Regelmäßige Information über den Fortschritt bei der Bearbeitung der Schwachstelle
• Behebung entdeckter Schwachstellen in angemessener Zeit innerhalb unserer operativen Möglichkeiten
• Safe Harbor für Ihre Sicherheitsforschung im Rahmen dieser Richtlinie

Unsere Erwartungen

Bei der gutgläubigen Teilnahme an unserem Programm zur Offenlegung von Schwachstellen bitten wir Sie:

• Halten Sie sich an die Regeln, einschließlich dieser Richtlinie und aller anderen relevanten Vereinbarungen
• Melden Sie entdeckte Schwachstellen umgehend
• Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören (z.B. DoS oder DDoS), Daten zu zerstören oder die Benutzererfahrung zu beeinträchtigen
• Nutzen Sie nur die offiziellen Kanäle, um Informationen über Schwachstellen mit uns zu besprechen
• Geben Sie uns angemessen Zeit (mindestens 90 Tage ab dem ersten Bericht), um das Problem zu beheben, bevor Sie es öffentlich offenlegen
• Führen Sie Tests nur an Systemen im Geltungsbereich durch
• Falls eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Beschränken Sie den Zugriff auf das Minimum, das für einen Proof-of-Concept erforderlich ist, und beenden Sie die Tests sofort, wenn Sie auf Benutzerdaten stoßen (z.B. personenbezogene Daten, Gesundheitsdaten, Zahlungsdaten oder proprietäre Informationen)
• Interagieren Sie nur mit Testkonten, die Ihnen gehören, oder mit ausdrücklicher Erlaubnis des Kontoinhabers
• Keine Erpressung

Irrelevante Schwachstellen

Zu den Problemen, die wir nicht als relevante Schwachstellen betrachten, gehören unter anderem:

• Fehlende Sicherheitsfunktionen allein ohne nachgewiesene Auswirkungen
• Fehlende Rate-Limiting ohne nachgewiesene Auswirkungen
• Fehlende sicherheitsrelevante HTTP-Header ohne nachgewiesene Auswirkungen
• Fehlende oder unvollständige SPF/DKIM/DMARC-Einträge
• Content-Spoofing ohne nachgewiesene Auswirkungen
• Automatisierte Scan-Berichte ohne Proof-of-Concept oder erklärende Dokumentation
• Clickjacking und Probleme, die nur durch Clickjacking ausnutzbar sind
• Self-XSS
• Social-Engineering-Angriffe

Safe Harbor

Bei der Durchführung von Sicherheitsforschung gemäß dieser Richtlinie betrachten wir diese Forschung als:

• Autorisiert im Hinblick auf geltende Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen
• Autorisiert im Hinblick auf relevante Anti-Umgehungsgesetze, und wir werden keine Klage gegen Sie wegen Umgehung technischer Kontrollen erheben
• Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen (AGB), die die Durchführung von Sicherheitsforschung behindern würden, und wir verzichten auf diese Einschränkungen auf begrenzter Basis
• Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt

Solange Sie diese Richtlinie einhalten, werden wir die Safe Harbor-Regelung einhalten:

• Wir verzichten darauf, eine Strafanzeige gemäß §§ 202a-202c StGB (Ausspähen und Abfangen von Daten), § 303a StGB (Datenveränderung) oder § 303b StGB (Computersabotage) zu stellen
• Falls rechtliche Schritte von Dritten gegen Sie eingeleitet werden und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um deutlich zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden

Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie vereinbar ist, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie fortfahren.

Hinweis: Der Safe Harbor gilt nur für rechtliche Ansprüche unter der Kontrolle von Wilma Digital GmbH und bindet nicht unabhängige Dritte.

Danksagungen

Wir möchten allen danken, die uns auf Sicherheitsprobleme aufmerksam gemacht haben und damit zu sichereren Produkten beitragen.