Sicherheitsrichtlinie / Responsible Disclosure

Die Sicherheit unserer Website und der Schutz personenbezogener Daten haben für uns hohe Priorität. Wir begrüßen Hinweise auf mögliche Sicherheitslücken und möchten Sicherheitsforscherinnen und Sicherheitsforschern einen klaren und verantwortungsvollen Kommunikationsweg anbieten.

Wenn Sie eine Schwachstelle auf unserer Website oder in unseren digitalen Angeboten entdecken, bitten wir um eine verantwortungsvolle Meldung („Responsible Disclosure“).

Kontakt für Sicherheitsmeldungen

Sicherheitsrelevante Hinweise senden Sie bitte bevorzugt per E-Mail an:

E-Mail: c.rademaker@fdp-wie-neu.de

Bitte beschreiben Sie die Schwachstelle möglichst nachvollziehbar und fügen Sie – sofern möglich – Informationen zur Reproduzierbarkeit bei.

Unser Umgang mit Meldungen

  • Wir prüfen eingehende Meldungen sorgfältig und zeitnah.
  • Wir behandeln Hinweise vertraulich.
  • Wir bemühen uns um eine angemessene Rückmeldung innerhalb eines vertretbaren Zeitraums.
  • Wir behalten uns vor, notwendige technische oder organisatorische Maßnahmen zur Absicherung unserer Systeme kurzfristig umzusetzen.

Was wir ausdrücklich erlauben

  • Die verantwortungsvolle Meldung von Sicherheitslücken.
  • Passive Untersuchungen öffentlich erreichbarer Inhalte.
  • Tests in einem angemessenen und nicht störenden Umfang.

Was wir ausdrücklich nicht gestatten

  • Aktive Angriffe auf unsere Systeme oder Infrastruktur.
  • Denial-of-Service-Angriffe (DoS/DDoS).
  • Social-Engineering-Angriffe gegen Mitglieder, Mitarbeitende oder Dritte.
  • Den Zugriff auf personenbezogene Daten oder deren Veränderung, Speicherung oder Weitergabe.
  • Automatisierte Massenscans oder übermäßige Belastung unserer Systeme.
  • Die Ausnutzung einer Schwachstelle über das notwendige Maß zur Verifikation hinaus.

Verantwortungsvolle Offenlegung

Wir bitten darum, gefundene Schwachstellen nicht öffentlich zu machen, bevor wir ausreichend Gelegenheit hatten, geeignete Schutzmaßnahmen umzusetzen.

Die Meldung einer Sicherheitslücke begründet keinen Anspruch auf Vergütung oder öffentliche Erwähnung.

Technische Informationen

Unsere Sicherheitskontaktinformationen stellen wir zusätzlich standardisiert über die Datei /.well-known/security.txt bereit.

Weitere Informationen zum Standard finden Sie in der RFC 9116.

Die Kommentare sind geschlossen.