Zum Inhalt springen
CardWho
App holen

Sicherheit

Richtlinie zur Meldung von Sicherheitslücken

Bei CardWho legen wir Wert auf die Sicherheit unserer Nutzerinnen und Nutzer, den Schutz personenbezogener Daten und die Vertrauenswürdigkeit unserer Plattform. Wenn du der Meinung bist, in unserer Website, unseren mobilen Anwendungen, API-Diensten, Admin-Dashboards oder anderen von CardWho betriebenen digitalen Assets eine Sicherheitslücke entdeckt zu haben, bitten wir dich, sie verantwortungsvoll und sicher an uns zu melden.

Zuletzt aktualisiert:

Diese Richtlinie erklärt, wie du eine Sicherheitslücke meldest, welche Systeme im Geltungsbereich liegen, welche Tests nicht akzeptiert werden und was du im Meldeprozess von uns erwarten kannst.

Wie melde ich eine Sicherheitslücke?

Wenn du eine Sicherheitslücke identifiziert hast, sende deinen Bericht bitte an folgende Adresse:

[email protected]

Eine möglichst klare, technische und reproduzierbare Schilderung deines Berichts hilft uns, das Problem schneller zu bewerten.

Bitte nimm – soweit möglich – folgende Informationen in deinen Bericht auf:

  • Die betroffene Webseite, der App-Bildschirm, die API-Operation oder die Systemkomponente
  • Die Schritte zur Reproduktion des Problems
  • Der Unterschied zwischen erwartetem und beobachtetem Verhalten
  • Die mögliche Auswirkung der Sicherheitslücke
  • Verwendetes Gerät, Betriebssystem, Browser oder App-Version
  • Falls vorhanden: Screenshots, kurze Videos, Logeinträge oder Proof-of-Concept
  • Eine Erklärung, wie die Lücke verifiziert werden kann, ohne sie auszunutzen

Bitte teile in deinem Bericht keine echten Nutzerdaten, keine unnötigen personenbezogenen Daten, keine Kontoinformationen Dritter und keine sensiblen Inhalte. Wenn ein Mindestmaß an Informationen ausreicht, um eine Lücke zu verifizieren, vermeide es, mehr zu erheben oder zu übermitteln.

Assets im Geltungsbereich

Diese Richtlinie deckt die digitalen Assets ab, die direkt von CardWho betrieben und kontrolliert werden.

Zum Geltungsbereich gehören in der Regel:

  • Die offiziellen Websites von CardWho
  • Die von CardWho betriebenen offiziellen Subdomains
  • Die offiziellen iOS- und Android-Apps von CardWho
  • Die APIs von CardWho
  • Die Admin-Dashboards von CardWho
  • Weitere offizielle Anwendungen, Dienste und Systemkomponenten von CardWho

Der Geltungsbereich beschränkt sich auf Systeme, die CardWho direkt kontrolliert. Von Drittanbietern betriebene Systeme werden nur insoweit betrachtet, als Lücken auf eine CardWho-Konfiguration oder -Integration zurückgehen und CardWho-Nutzerinnen und -Nutzer direkt betreffen.

Assets und Dienste außerhalb des Geltungsbereichs

Die folgenden Systeme und Dienste fallen nicht direkt in den Geltungsbereich dieser Richtlinie:

  • Apple App Store
  • Google Play
  • Cloudflare
  • OVH
  • Zahlungsinfrastruktur-Anbieter
  • E-Mail-Service-Provider
  • Analyse-, Benachrichtigungs-, Fehler-Tracking- oder Marketingtools
  • Drittanbieter-Websites, -APIs, -Anwendungen und -Dienste, die nicht von CardWho betrieben werden

In solchen Drittanbieterdiensten festgestellte Sicherheitslücken sind über die eigenen Sicherheitsmeldekanäle des jeweiligen Anbieters zu melden.

Stellst du allerdings ein Sicherheitsrisiko fest, das aus einer CardWho-seitigen Konfiguration einer Drittanbieter-Integration entsteht und CardWho-Nutzerinnen und -Nutzer direkt betrifft, kannst du es uns melden.

Akzeptierte Arten von Sicherheitslücken

Die folgenden Arten von Sicherheitslücken können im Geltungsbereich liegen:

  • Unbefugter Zugriff
  • Fehler in Authentifizierung oder Sitzungsverwaltung
  • Privilegieneskalation
  • Zugriff über Nutzergrenzen hinweg
  • Unbefugte Offenlegung sensibler Daten
  • API-Sicherheitslücken
  • Serverseitige Sicherheitslücken
  • Sicherheitslücken in mobilen Apps
  • Fehler in der Geschäftslogik
  • Fehlkonfigurationen mit klar belegbarer Sicherheitsauswirkung
  • Lücken in Zahlungs-, Abonnement- oder Konto-Flows mit Sicherheitsauswirkung
  • Schwachstellen, die die Privatsphäre oder Datenintegrität der Nutzer betreffen

Damit ein Befund als im Geltungsbereich gewertet werden kann, muss er eine realistische und nachvollziehbare Sicherheitsauswirkung haben.

Befunde außerhalb des Geltungsbereichs

Die folgenden Meldungen werden in der Regel als außerhalb des Geltungsbereichs eingestuft:

  • Automatisierte Scanner-Ausgaben ohne belegbare Sicherheitsauswirkung
  • Fehlende HTTP-Header, die rein informativen Charakter haben
  • Versions-Offenlegungen ohne belegte Sicherheitsauswirkung
  • Theoretische Probleme ohne belegbare Auswirkung
  • Self-XSS-Befunde mit begrenzter Sicherheitsauswirkung, die eine Nutzerinteraktion erfordern
  • Szenarien, die ein bereits kompromittiertes Gerät, Browser, Betriebssystem oder Nutzerkonto voraussetzen
  • Social Engineering
  • Phishing-Versuche
  • Physische Sicherheitstests
  • Tests gegen Mitarbeitende, Nutzer, Geschäftspartner oder Dienstleister
  • Denial-of-Service-Angriffe
  • Tests, die hohen Traffic erzeugen
  • Brute-Force-, Credential-Stuffing- oder Passwort-Rate-Angriffe
  • Spam, Massen-E-Mails, Massen-Formulareinreichungen oder automatisierte Registrierungsversuche
  • Herunterladen, Verändern, Löschen oder Offenlegen echter Nutzerdaten
  • Lücken in der Infrastruktur von Drittanbieter-Dienstleistern
  • Domains, Anwendungen oder Systeme, die nicht von CardWho betrieben werden
  • Probleme, die nur die Geräte oder lokalen Umgebungen der Nutzer betreffen
  • Best-Practice-Empfehlungen ohne klar belegbare Sicherheitsauswirkung

CardWho behält sich das Recht vor, Meldungen ohne Sicherheitsauswirkung, ohne Verifizierbarkeit oder außerhalb des Geltungsbereichs nicht weiter zu bearbeiten.

Regeln für die Sicherheitsforschung

Bei der Sicherheitsforschung erwarten wir, dass du folgende Regeln einhältst:

  • Teste nur Systeme im Geltungsbereich.
  • Führe deine Tests mit minimaler Auswirkung durch.
  • Versuche nicht, auf echte Nutzerdaten zuzugreifen, sie herunterzuladen, zu verändern oder zu löschen.
  • Führe so wenige Tests wie nötig durch, um eine Lücke zu verifizieren.
  • Vermeide Tests, die den Betrieb der Systeme stören könnten.
  • Führe keine Aktionen aus, die Ausfälle, Performance-Einbußen oder Datenverluste verursachen können.
  • Versuche nicht, auf Konten, Daten oder Geräte anderer Nutzer zuzugreifen.
  • Nutze keine Methoden wie Social Engineering, Phishing, physische Angriffe oder gezielte Angriffe auf Mitarbeitende.
  • Gib uns angemessene Zeit zur Bewertung und Behebung, bevor du etwas öffentlich machst.
  • Gib die Lücke nicht an Dritte weiter.
  • Nutze die erlangten Informationen ausschließlich zur Meldung der Lücke.

Verhalten, das gegen diese Regeln verstößt, gilt im Rahmen dieser Richtlinie nicht als Sicherheitsforschung in gutem Glauben.

Unser Reaktionsprozess

Bei Eingang einer gültigen Sicherheitsmeldung versuchen wir, diese so schnell wie möglich zu prüfen.

Unsere angestrebten Reaktionszeiten sind:

Phase Zielzeit
Bestätigung des Eingangs der MeldungInnerhalb von 2 Werktagen
Erste technische BewertungInnerhalb von 7 Kalendertagen
Priorität- und AuswirkungsbewertungInnerhalb von 10 Kalendertagen
Behebung oder Minderung kritischer BefundeZiel innerhalb von 14 Tagen
Behebung oder Minderung hochpriorisierter BefundeZiel innerhalb von 30 Tagen
Mittel- und niedrigpriorisierte BefundeGeplant nach Risiko, Auswirkung und technischem Umfang

Diese Zeiten sind Zielwerte. Sie können je nach Komplexität der Lücke, Drittanbieter-Abhängigkeiten, Plattform-Freigabeprozessen, App-Store-Prüfungen oder technischen Anforderungen variieren.

Bei Bedarf können wir zusätzliche Informationen von dir anfordern. Die Bewertung deines Berichts hängt von der Aussagekraft der bereitgestellten Informationen und der Verifizierbarkeit der Sicherheitsauswirkung ab.

Priorisierung

Bei der Bewertung von Sicherheitslücken berücksichtigen wir die folgenden Kriterien:

  • Auswirkung auf Nutzerdaten
  • Wahrscheinlichkeit unbefugten Zugriffs
  • Zahl der betroffenen Nutzer oder Systeme
  • Ausnutzbarkeit der Lücke
  • Ob die Lücke aus der Ferne ausgenutzt werden kann
  • Auswirkung auf Geschäftskontinuität und Dienstzuverlässigkeit
  • Auswirkung auf Zahlungs-, Abonnement- oder Kontosicherheit
  • Bestehende abschwächende Kontrollen

CardWho bestimmt Priorität und Schweregrad einer gemeldeten Sicherheitslücke nach eigener technischer und operativer Einschätzung.

Öffentliche Offenlegung

Die öffentliche Offenlegung gemeldeter Sicherheitslücken sollte nur mit vorheriger schriftlicher Zustimmung von CardWho erfolgen.

Bitte gib eine Lücke nicht öffentlich bekannt, bevor folgende Schritte erfolgt sind:

  • Die Meldung uns erreicht hat
  • Die Lücke technisch bewertet wurde
  • Die notwendige Behebung oder Minderung umgesetzt wurde
  • Zeitpunkt und Inhalt der Offenlegung abgestimmt wurden

In geeigneten Fällen und auf deinen Wunsch können wir deinen Beitrag öffentlich anerkennen. Aus Gründen der Nutzersicherheit, des Datenschutzes, laufender Ermittlungen oder Missbrauchsrisiken kann eine öffentliche Offenlegung jedoch unterbleiben.

Meldungen in gutem Glauben

Im Rahmen dieser Richtlinie bewerten wir Forschung positiv, die in gutem Glauben erfolgt, im Geltungsbereich bleibt, Nutzerdaten nicht schädigt, die Dienstkontinuität nicht stört und die Lücke verantwortungsvoll meldet.

Sicherheitsforschung in gutem Glauben bedeutet:

  • Tests werden auf Systeme im Geltungsbereich beschränkt
  • Auf Nutzerdaten wird nicht unbefugt zugegriffen
  • Falls darauf zugegriffen wird, werden die Daten nicht eingesehen, kopiert, gespeichert oder geteilt
  • Es wird keine Dienstunterbrechung verursacht
  • Die Lücke wird nicht missbraucht
  • Die Lücke wird nicht an Dritte weitergegeben
  • CardWho wird angemessene Zeit zur Bewertung und Behebung eingeräumt

Diese Richtlinie erlaubt keine böswilligen Aktivitäten, Datenpannen, Dienstunterbrechungen, Schädigung Dritter oder Tests an Systemen außerhalb des Geltungsbereichs.

CardWho behält sich das Recht vor, jede Meldung im Einzelfall zu bewerten und bei Bedarf seine rechtlichen Ansprüche zu wahren.

Datenschutz

Personenbezogene Daten, die du uns im Rahmen einer Sicherheitsmeldung übermittelst, werden ausschließlich zur Bewertung deiner Meldung, zur Kommunikation mit dir, zur Verifizierung und Behebung der Lücke sowie zur Führung der erforderlichen Aufzeichnungen verarbeitet.

Bitte teile in deinem Bericht keine personenbezogenen Daten Dritter mit. Wenn du beim Verifizieren einer Lücke auf personenbezogene Daten zugreifst, beende den Zugriff bitte unverzüglich und vermerke das deutlich in deinem Bericht.

CardWho kann im Rahmen des Sicherheitsmeldeprozesses gewonnene Informationen nutzen, um die Nutzersicherheit zu gewährleisten, die eigenen Systeme zu schützen und gesetzlichen Pflichten nachzukommen.

Kontakt

Für Sicherheitslücken und sicherheitsbezogene Meldungen erreichst du uns unter:

[email protected]

Für allgemeinen Support, Kooperationen oder Nutzeranfragen außerhalb von Sicherheitsmeldungen nutze bitte das offizielle Kontaktformular von CardWho.