Zum Inhalt springen

Security Policy

Sicherheitslücken verantwortungsvoll melden

Wenn Sie eine Sicherheitslücke in der-ki-auditor.de oder einem zugehörigen Dienst entdeckt haben, freuen wir uns über eine verantwortungsvolle Meldung. Diese Seite beschreibt, wie das geht und was Sie von uns erwarten dürfen.

Diese Policy ist auch maschinenlesbar verlinkt unter /.well-known/security.txt (RFC 9116).

Geltungsbereich

Diese Policy gilt für folgende Systeme der Marke „Der KI-Auditor" der FERNAU Präzisionstechnik GmbH:

  • Die Website der-ki-auditor.de und alle darunter veröffentlichten Inhalte und Formulare
  • Die Backend-Funktionen (Supabase Edge Functions im EU-Frankfurt-Bereich)
  • Die ausgelieferten kostenlosen Vorlagen-PDFs und Lead-Magnete

Nicht im Scope: Drittsysteme (z. B. Microsoft 365, Teams & Kalender via Graph, Cloudflare, Supabase als Plattform). Dort gelten die Policies der jeweiligen Anbieter.

So melden Sie eine Schwachstelle

Kontakt

[email protected]

Bitte schildern Sie reproduzierbar: Was haben Sie gemacht, was war das Ergebnis, ab wann ist das nachvollziehbar? Wenn möglich ergänzen Sie Browser/Version, URL, Zeitstempel und ggf. Screenshot oder Logfile-Auszug. Keine PGP-Verschlüsselung erforderlich (kein PGP-Key veröffentlicht).

Was Sie von uns erwarten dürfen

  • Eingangsbestätigung werktags innerhalb von 24 Stunden (in der Regel deutlich schneller).
  • Erste Einschätzung innerhalb von 7 Werktagen, Schweregrad, geplantes Vorgehen, voraussichtlicher Fix-Zeitraum.
  • Fix-Versuch innerhalb von 30 Tagen für kritische und hohe Schweregrade. Bei niedrigerem Risiko in der nächsten regulären Iteration.
  • Auf Wunsch Namensnennung in einem Sicherheits-Changelog, wenn Sie das möchten. Anonyme Meldungen sind ebenso willkommen.
  • Kein Bug-Bounty-Programm. Wir zahlen keine Prämien, die Site ist eine kleine Marken-Website ohne Hochrisiko-Funktionalität. Wir bedanken uns mit einer ehrlichen Reaktion und Anerkennung der Arbeit.

Spielregeln (Safe Harbor)

Wir verfolgen keine zivil- oder strafrechtlichen Schritte gegen Sicherheitsforschende, die diese Spielregeln einhalten:

  • Sie testen nur Ihre eigenen Daten und keine echten Personen.
  • Sie nutzen keine destruktiven Methoden (DDoS, Volumen-Scraping, Brute-Force, Social Engineering, Phishing gegen Mitarbeitende).
  • Sie verändern keine Daten und legen keine Hintertüren an.
  • Sie veröffentlichen Details nicht vor dem Fix, idealerweise erst nach einer mit uns abgestimmten Frist (typisch 90 Tage).
  • Sie halten alle geltenden Gesetze ein.

Diese Safe-Harbor-Zusage gilt für die hier benannten Systeme. Sie ersetzt keine vertragliche oder gesetzliche Pflicht gegenüber Dritten (z. B. Plattform-AGB von Cloudflare, Supabase, Microsoft).

Stand: Mai 2026. Diese Policy wird mindestens jährlich überprüft, spätestens zum Ablauf der Expires-Angabe in der security.txt.