Startseite Sicherheitskontakt Sicherheitsmeldung CVD-Richtlinie

Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

Diese Richtlinie beschreibt die grundlegenden Erwartungen an Meldungen potenzieller Sicherheitslücken und unseren organisatorischen Umgang mit entsprechenden Hinweisen.

Version: 1.0

Letzte Aktualisierung: 2026-03-13

Kontaktseite: https://erminas.com/de/security-contact/

1. Zweck

Diese Richtlinie beschreibt, wie potenzielle Sicherheitslücken an uns gemeldet werden können und wie wir mit entsprechenden Meldungen umgehen.

2. Meldewege

Informationen zu potenziellen Sicherheitslücken sollen über die auf unserer Seite zum Sicherheitskontakt veröffentlichten Meldewege eingereicht werden.

3. Welche Informationen wir benötigen

  • betroffene URL, Komponente, Produkt oder Version
  • eine klare Beschreibung des Problems
  • Schritte zur Reproduktion des beobachteten Verhaltens
  • erwartetes und tatsächliches Verhalten, sofern relevant
  • mögliche Auswirkungen
  • optionale Kontaktinformationen für Rückfragen und Koordination

4. Erwartetes Verhalten bei Tests und Meldungen

  • nutzen Sie eine gefundene Schwachstelle nicht über das zur Demonstration erforderliche Maß hinaus aus
  • beeinträchtigen Sie nicht absichtlich Verfügbarkeit, Integrität oder Vertraulichkeit
  • greifen Sie nicht ohne zwingenden Grund auf Daten Dritter zu und verändern oder löschen Sie diese nicht
  • veröffentlichen Sie keine Details vor einer abgestimmten Koordination mit uns

5. Unser Umgang mit Meldungen

  • wir prüfen eingehende Meldungen
  • wir priorisieren Meldungen nach Schweregrad und potenziellen Auswirkungen
  • wir verwenden bereitgestellte Kontaktdaten ausschließlich für Rückfragen und die Koordination der Bearbeitung
  • wir bemühen uns um eine angemessene und nachvollziehbare Bearbeitung eingehender Hinweise

6. Vertrauliche Kommunikation

Öffentliche OpenPGP-Schlüssel für verschlüsselte Kommunikation werden im Rahmen des finalen Setups bereitgestellt und über die Kontaktseite sowie über security.txt referenziert.

7. Geltungsbereich

Diese Richtlinie gilt für unsere öffentlich erreichbaren Webangebote und damit verbundene digitale Dienste, sofern nicht ausdrücklich etwas anderes angegeben ist.

8. Rechtlicher Hinweis

Diese Richtlinie stellt keine allgemeine Erlaubnis für uneingeschränkte Tests, Scans oder intrusive Aktivitäten dar. Bitte handeln Sie verantwortungsvoll und abgestimmt mit uns.