[ Security ]

Vulnerability Disclosure Policy

DC INFOSEC begrüßt verantwortliche Sicherheitsforschung gegen dc-infosec.de und alle Subdomains. Wer eine Schwachstelle entdeckt und vertraulich meldet, bekommt eine Bestätigung innerhalb von 72 Stunden, einen festen Ansprechpartner und einen Eintrag in der Hall of Fame nach Behebung. Kein Bug-Bounty-Programm, keine Auszahlung.

Scope

In-Scope sind:

  • dc-infosec.de und alle Subdomains *.dc-infosec.de
  • Produkt-Domains, die von DC INFOSEC betrieben werden (z.B. nis2uebersetzer.dc-infosec.de, updates.dc-infosec.de)
  • Self-hosted-Stacks für Mandanten, sofern explizit als In-Scope-Asset im Engagement-Vertrag aufgeführt

Out-of-Scope sind:

  • Drittanbieter-Dienste (Google Analytics, Stripe, Digistore24, Brevo, Hostinger-Infrastruktur)
  • Schwachstellen in Bibliotheken, die nur auf nicht-produktiven Code-Branches existieren
  • Denial-of-Service-Angriffe, Volume-Tests, automatisierte Scans ohne Rate-Limit
  • Social Engineering gegen DC INFOSEC oder Dritte

Wie melden

Bevorzugt per E-Mail an admin@dc-infosec.de mit dem Betreff [security] und einer kurzen Reproduktion. PGP auf Anfrage. Alternativ via Kontaktformular mit dem Hinweis, dass es sich um einen Sicherheitsreport handelt.

Eine Reproduktion sollte enthalten: betroffene URL oder Endpoint, Schritte zur Reproduktion, beobachteter und erwarteter Effekt, optional Proof-of-Concept-Snippet. Screenshots oder cURL-Aufrufe helfen.

Was wir zusagen

  • Bestätigung des Eingangs innerhalb von 72 Stunden.
  • Triage-Update innerhalb von 7 Tagen (Severity-Einschätzung).
  • Status-Update mindestens alle 30 Tage bis zur Behebung oder begründeten Ablehnung.
  • Keine rechtlichen Schritte gegen Reporter, die diese Policy einhalten und in gutem Glauben handeln.
  • Eintrag in der Hall of Fame nach Behebung, sofern gewünscht. Anonyme Einträge möglich.

Was wir bitten

  • 90 Tage Frist zwischen erstem Report und öffentlicher Disclosure. Längere Fristen für schwer behebbare Findings nach Absprache.
  • Kein Zugriff, keine Veränderung und keine Exfiltration von Daten Dritter über das hinaus, was zur Demonstration der Schwachstelle nötig ist.
  • Keine Veröffentlichung vor Behebung, ohne dass eine vorherige Abstimmung stattgefunden hat.

Safe Harbor

Aktivitäten, die nachweislich der hier dokumentierten Policy folgen, werden als autorisierte Sicherheitsforschung betrachtet. DC INFOSEC verzichtet auf zivilrechtliche oder strafrechtliche Schritte nach §202a bis §202d StGB für Researcher, die in gutem Glauben handeln, die Scope-Grenzen respektieren und die unter "Was wir bitten" aufgeführten Bedingungen einhalten. Dieser Safe Harbor erstreckt sich nicht auf vorsätzliche Datenexfiltration, Erpressung oder Schäden an der Verfügbarkeit für Dritte.

Kein Bounty

DC INFOSEC zahlt aktuell keine monetären Bug-Bounties. Anerkennung erfolgt über die Hall of Fame und optional über ein Empfehlungsschreiben für den Lebenslauf. Wer ein klassisches Bounty-Programm sucht, ist auf HackerOne und Intigriti besser aufgehoben.

[ Anerkennung ]

Hall of Fame

Reporter, die mindestens ein validiertes Finding nach dieser Policy gemeldet haben. Reihenfolge chronologisch nach erstem akzeptierten Report.

Aktuell noch keine Einträge. Wir starten diese Liste, sobald der erste qualifizierte Report bestätigt und behoben ist.

Maschinenlesbar

Die zugehörige security.txt nach RFC 9116 enthält dieselben Kontakt- und Policy-Verweise als maschinenlesbares Format.

Letztes Update: 1. Juni 2026.