Schwachstelle melden
Wir nehmen die Sicherheit unserer Systeme ernst. Wenn du eine Sicherheitslücke gefunden hast, freuen wir uns über deine Meldung. Wir schätzen die Arbeit von Security Researcher und bieten Belohnungen für verantwortungsvoll gemeldete Schwachstellen – von einem Platz in unserer Hall of Fame bis hin zu monetären Prämien für kritische Funde.
So meldest du eine Schwachstelle
Der schnellste Weg, eine Schwachstelle zu melden, ist über unser Service Desk. Es führt dich durch den Meldeprozess und stellt sicher, dass wir alle Informationen für eine schnelle Bearbeitung erhalten.
Wichtig: Wir akzeptieren keine automatisierten Scanner-Berichte oder rein KI-generierte Meldungen ohne manuelle Verifizierung.
Alternativ kannst du eine E-Mail an security@seibert.group senden. Bitte gib bei einer Meldung per E-Mail folgende Informationen an:
- Betroffenes System – Welche URL/Domain ist betroffen?
- Art der Schwachstelle – z. B. XSS, SQL Injection, IDOR
- Reproduktionsschritte – Wie können wir das nachstellen?
- Auswirkung – Was kann ein Angreifer erreichen?
- Proof of Concept – Screenshot, Video oder Code (optional)
- Deine Kontaktdaten – E-Mail für Rückfragen
Geltungsbereich
Folgende Assets sind von diesem Programm abgedeckt:
| Asset | Beschreibung |
|---|---|
| Systeme mit security.txt | Alle Systeme, die eine /.well-known/security.txt bereitstellen |
| Systeme mit DNS-Security-Eintrag | Alle Domains mit einem Security-DNS-TXT-Record |
| Interne Systeme | Falls versehentlich öffentlich, gekennzeichnet via security.txt oder DNS-Record |
Folgende Assets sind ausdrücklich ausgeschlossen:
| Ausschluss | Hinweis |
|---|---|
| Atlassian Marketplace Apps | Abgedeckt durch das Atlassian Marketplace Bug Bounty Program |
| Gehostete Atlassian-Instanzen | Confluence, Jira usw., betrieben von der Seibert Group |
| Kundenanwendungen | Systeme, die wir im Auftrag von Kund*innen betreiben |
| Drittanbieter-Dienste | Nicht in unserer Verantwortung |
Belohnungen
Alle Researcher, die gültige Schwachstellen melden, werden in unserer Hall of Fame gewürdigt. Funde mit kritischem oder hohem Schweregrad sind zusätzlich für eine monetäre Belohnung berechtigt.
| Schweregrad | BugCrowd VRT | Belohnung |
|---|---|---|
| Critical | P1 | bis zu 1.500 $ + Hall of Fame |
| High | P2 | bis zu 900 $ + Hall of Fame |
| Medium | P3 | Hall of Fame |
| Low | P4 | Hall of Fame |
Schweregradklassifizierung
Wir verwenden die Bugcrowd Vulnerability Rating Taxonomy (VRT) als Referenz für die Schweregradklassifizierung. Die endgültige Bewertung wird von der Seibert Group auf Basis der tatsächlichen geschäftlichen Auswirkung festgelegt.
| Unsere Bewertung | BugCrowd VRT | Beispiele |
|---|---|---|
| Critical | P1 | RCE, SQL Injection mit Datenzugriff, Authentication Bypass, XXE, Key Leak |
| High | P2 | Stored XSS, App-weites CSRF, SSRF (hohe Auswirkung), anwendungsweites DoS |
| Medium | P3 | Reflected XSS, 2FA Bypass, Subdomain Takeover, SSRF (Scan) |
| Low | P4 | Clickjacking (sensible Aktion), IDOR (komplexe IDs), Token Leakage |
| Nicht berechtigt | P5 | Self-XSS, fehlende Header, interne IP-Offenlegung |
Nicht berechtigt
Die folgenden Funde werden nicht als Schwachstellen akzeptiert:
- Fehlende Security Header (CSP, HSTS, X-Frame-Options)
- DNS-/E-Mail-Konfiguration (SPF, DMARC, DKIM)
- SSL/TLS-Einstellungen
- Clickjacking auf nicht-sensiblen Seiten oder ohne nachgewiesene Auswirkung
- Self-XSS
- Offenlegung interner IP-Adressen
- Rate Limiting ohne konkreten Exploit
- Logout CSRF
- Benutzernamen-/E-Mail-Enumeration
- Fehlende Autocomplete-Attribute
- Reine Scanner-Ergebnisse
- Bereits gemeldete Schwachstellen
- Schwachstellen in Drittanbieter-Software ohne Exploit-Nachweis
Verhaltensregeln
Erlaubt
- Tests auf eigenen Accounts
- Manuelle Tests und eigene Skripte
- Nicht-destruktive Proof of Concepts
Nicht erlaubt
- Automatisierte Schwachstellen-Scanner
- Zugriff auf fremde Daten
- Social Engineering gegen Mitarbeitende
- Denial-of-Service-Tests
- Physische Sicherheitstests
- Veröffentlichung ohne unsere Genehmigung
Vertraulichkeit
Alle gemeldeten Schwachstellen sind vertraulich zu behandeln. Du darfst keine Details über die Schwachstelle – einschließlich ihrer Existenz – ohne unsere ausdrückliche schriftliche Genehmigung an Dritte weitergeben. Dies gilt unabhängig davon, ob die Schwachstelle bereits behoben wurde.
Ein Verstoß gegen diese Vertraulichkeitsanforderung führt zu:
- Keine Prämienzahlung
- Entfernung aus der Hall of Fame
- Die Seibert Group behält sich weitere Maßnahmen vor
Unser Ablauf
Nach Eingang deiner Meldung passiert Folgendes:
| Schritt | Zeitrahmen |
|---|---|
| Automatische Eingangsbestätigung | Sofort nach Eingang |
| Persönliche Rückmeldung | Innerhalb von 3 Werktagen* |
| Erste Bewertung | Innerhalb von 7 Werktagen* |
| Behebung (Critical/High) | Innerhalb von 3 Monaten |
| Bestätigung der Behebung | Du wirst benachrichtigt, sobald das Problem gelöst ist |
*Werktage = Montag bis Freitag, ausgenommen gesetzliche Feiertage in Hessen
Safe Harbor
Wir werden keine rechtlichen Schritte gegen Researcher einleiten, die:
- In gutem Glauben handeln
- Diese Richtlinie befolgen
- Verantwortungsvoll melden
- Keine Daten exfiltrieren oder Schäden verursachen