Sicherheit

Informationen zur Meldung von Sicherheitslücken und unserem Responsible Disclosure Prozess

Der Schutz der Daten unserer Nutzer hat für uns höchste Priorität. Wir begrüßen Hinweise auf Sicherheitslücken in unseren Systemen, damit wir diese schnell beheben können.

Vielen Dank für Ihre Unterstützung

Sicherheitsforschende leisten einen wichtigen Beitrag zum Schutz unserer Systeme und Nutzer. Wir nehmen jede Meldung ernst.

Geltungsbereich

Diese Richtlinie gilt für die folgenden Dienste. Bitte beachten Sie, dass einige Dienste nur eingeschränkt oder ausschließlich in Testumgebungen getestet werden dürfen:

Öffentliche Dienste

Hinweis zu S3

Für s3.nrw gilt diese Richtlinie für die Zone eu-central-1. Buckets in deutschen Zonen (de-*) dürfen getestet werden, sofern sie zu den genannten Webanwendungen gehören.

Testumgebungen

SaaS

Software-as-a-Service Testumgebungen

IaaS

Infrastructure-as-a-Service Testumgebungen

PaaS

Platform-as-a-Service Testumgebungen

Eingeschränkte Verfügbarkeit

SaaS-, IaaS- und PaaS-Testumgebungen sind nicht öffentlich zugänglich. Die Verfügbarkeit für Sicherheitsanalysen erfolgt selektiv auf Anfrage. Bitte kontaktieren Sie uns vor Beginn Ihrer Untersuchung.

Produktivsysteme, die nicht explizit aufgeführt sind, sowie Infrastruktur von Dritten dürfen ohne ausdrückliche Genehmigung nicht getestet werden. Bei Unsicherheit kontaktieren Sie uns bitte vor Beginn Ihrer Untersuchung.

Schwachstelle melden

Bitte senden Sie Hinweise zu Schwachstellen an:

Sicherheitsteam

E-Mail:

PGP:

Informationen in Ihrer Meldung

Ihre Meldung sollte folgende Informationen enthalten, damit wir die Schwachstelle schnell analysieren können:

Betroffene URL

Genaue URL bzw. betroffener Dienst

Beschreibung

Kurze Beschreibung der Schwachstelle

Reproduktion

Schritt-für-Schritt-Anleitung zur Reproduktion

Technische Details

Browser, Requests, Screenshots, PoC

Auswirkung

Mögliche Auswirkungen der Schwachstelle

CVSS

Bewertung des Schweregrads (optional)

Unser Prozess

Wir bestätigen den Eingang von Meldungen in der Regel innerhalb von 3 Werktagen und informieren Sie über die weiteren Schritte. Unsere Sicherheitskontaktinformationen finden Sie auch unter /.well-known/security.txt.

Nach Eingang Ihrer Meldung durchlaufen wir folgende Phasen:

Triage

Wir bewerten den Schweregrad und die Auswirkungen der gemeldeten Schwachstelle.

Behebung

Unser Team entwickelt und implementiert einen Fix.

Retest

Wir verifizieren die erfolgreiche Behebung.

Abschluss

Wir informieren Sie über das Ergebnis.

Datenschutzhinweis

Personenbezogene Daten in Ihrem Report werden gemäß DSGVO verarbeitet. Details finden Sie in unserer Datenschutzerklärung. Übermitteln Sie nur Daten, die für die Sicherheitsanalyse erforderlich sind.

Verhaltensregeln

Damit wir alle Beteiligten schützen, bitten wir Sie um folgendes Vorgehen:

Daten schützen

Führen Sie keine Aktionen durch, die zu Datenverlust oder -beschädigung führen könnten.

Kein Datenzugriff

Greifen Sie nicht aktiv auf Daten Dritter zu und exfiltrieren Sie keine personenbezogenen Daten.

Keine Angriffe

Verzichten Sie auf Social Engineering, Phishing oder physische Angriffe.

Maßvoll bleiben

Nutzen Sie gefundene Schwachstellen nicht weiter aus, als zum Nachweis unbedingt erforderlich.

Keine Service-Störung

Führen Sie keine Denial-of-Service-Tests oder ressourcenintensive Tests durch.

Keine KI-Kompromittierung

Versuchen Sie nicht, KI-Agenten zu manipulieren oder zu kompromittieren.

Verantwortungsvolle Offenlegung (90 Tage)

Bitte geben Sie uns mindestens 90 Tage Zeit, um die gemeldete Schwachstelle zu analysieren und zu beheben, bevor Sie Informationen dazu veröffentlichen.

Unser Versprechen (Safe Harbor)

Wenn Sie eine Schwachstelle im Einklang mit dieser Richtlinie und in guter Absicht melden:

Keine rechtlichen Schritte

Wir werden keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.

Vertraulichkeit

Wir behandeln Ihre Meldung vertraulich und geben personenbezogene Daten nicht ohne Ihre Zustimmung weiter.

Transparenz

Wir bemühen uns, Sie über den Status (Bestätigung, Bewertung, Behebung) zu informieren.

Anerkennung

Bitte beachten Sie, dass diese Richtlinie keinen Anspruch auf eine Vergütung begründet. Wir behalten uns vor, besonders hilfreiche Meldungen nach eigenem Ermessen anzuerkennen (z.B. durch eine Danksagung oder kleine Aufmerksamkeit).

Bug Bounty Programm

Kein öffentliches Bug-Bounty-Programm

Aktuell betreiben wir noch kein öffentliches Bug-Bounty-Programm mit festen Prämien. Sollte sich dies in Zukunft ändern, werden wir auf dieser Seite Informationen zu Umfang und Teilnahmebedingungen veröffentlichen.

Letzte Aktualisierung: März 2026

Impressum

Impressum und rechtliche Angaben zur Arca Resort eG