Zum Hauptinhalt springen
Passwork LogoPasswork LogoTechnische Anleitungen
search
search

Richtlinie zur verantwortungsvollen Offenlegung

Gilt für: Passwork Cloud, Passwork On-Premise, Browser-Erweiterungen, mobile Apps, API und Dokumentation.

Sicherheit ist uns wichtig. Wenn Sie etwas gefunden haben, das die Sicherheit von Passwork oder die Daten unserer Benutzer beeinträchtigen könnte, möchten wir davon erfahren. Diese Richtlinie erklärt, wie Sie Schwachstellen verantwortungsvoll melden können und was Sie im Gegenzug von uns erwarten können.

Was wir versprechen

Wenn Sie eine Schwachstelle gemäß diesen Richtlinien melden:

  • Wir antworten schnell. Sie erhalten innerhalb von 5 Werktagen eine Rückmeldung von uns, in der Regel früher.
  • Wir halten Sie auf dem Laufenden. Wir informieren Sie über unseren Fortschritt und stimmen den Zeitpunkt der Offenlegung mit Ihnen ab.
  • Keine rechtlichen Konsequenzen. Wenn Sie in gutem Glauben handeln und diese Richtlinie befolgen, werden wir keine rechtlichen Schritte gegen Sie einleiten. Punkt.

Im Geltungsbereich

Sie können Folgendes testen:

  • Passwork Cloud (öffentliche Instanz)
  • Passwork On-Premise (Ihre eigene lizenzierte Installation)
  • Browser-Erweiterungen
  • Mobile Apps
  • API und Web-Client
  • Dokumentation und öffentliche Websites
tipp

Nicht sicher, ob etwas erlaubt ist? Schreiben Sie uns eine Nachricht an [email protected], bevor Sie beginnen.

Grundregeln

Einige Dinge sind zum Schutz unserer Benutzer tabu:

  • Greifen Sie nicht auf echte Benutzerdaten zu. Kein Zugriff auf, Ändern oder Löschen von Informationen anderer Personen.
  • Keine DoS-Angriffe. Massenangriffe, aggressives Scanning oder alles, was die Dienstleistung beeinträchtigt.
  • Kein Social Engineering. Kein Phishing unserer Mitarbeiter oder Kunden.
  • Keine physischen Angriffe. Unsere Infrastruktur, Büros und Geräte sind tabu.
  • Vorsicht mit automatisierten Scannern. Sie können Probleme für Passwork Cloud verursachen, vermeiden Sie sie daher dort.
  • Minimale Auswirkung. Gehen Sie nur so weit, wie nötig, um die Existenz der Schwachstelle zu beweisen.

Wie Sie melden

Senden Sie Ihren Bericht an [email protected]

Bitte fügen Sie Folgendes bei:

  • Was Sie gefunden haben und wie es funktioniert
  • Schritte zur Reproduktion
  • Ihre Einschätzung der potenziellen Auswirkung
  • Proof of Concept (Screenshots, Video, Code)
  • Ihre IP-Adresse (hilft uns bei der Überprüfung unserer Protokolle)
  • Wie Sie genannt werden möchten (falls überhaupt)

Wir akzeptieren Berichte in englischer Sprache.

Der Prozess

  1. Sie senden uns die Details
  2. Wir bestätigen den Empfang (innerhalb von 5 Werktagen)
  3. Wir validieren und untersuchen das Problem
  4. Wir entwickeln eine Lösung
  5. Wir informieren Sie, wenn es behoben ist
  6. Wir koordinieren die öffentliche Offenlegung (in der Regel 30-90 Tage nach der Behebung)

Wonach wir suchen

  • Umgehung der Authentifizierung oder Session Hijacking
  • Umgehung der Verschlüsselung (client- oder serverseitig)
  • Rechteeskalation
  • API-Autorisierungsprobleme
  • Schwachstellen zur Codeausführung
  • SQL/NoSQL-Injection
  • XSS, CSRF, SSRF
  • RCE in On-Premise-Installationen
  • Offenlegung sensibler Informationen
  • Logikfehler, die die Sicherheit gefährden
  • Fehlerhafte Zugriffskontrollen
  • Passwort- oder TOTP-Offenlegung

Außerhalb des Geltungsbereichs

Wir konzentrieren uns auf echte, ausnutzbare Schwachstellen, die unseren Benutzern tatsächlich schaden könnten. Sicherheitsempfehlungen sind willkommen, werden aber nicht als Schwachstellen behandelt, es sei denn, Sie können zeigen, wie sie zu einem konkreten Problem führen.

Bitte melden Sie Folgendes nicht:

  • E-Mail-Konfigurationsprobleme (SPF/DKIM/DMARC)
  • Fehlende Sicherheits-Header ohne funktionierenden Exploit
  • Ratenbegrenzung ohne nachgewiesenes Risiko
  • Clickjacking auf nicht-sensiblen Seiten
  • Allgemeine Sicherheits-Best-Practices oder Empfehlungen
  • Veraltete Abhängigkeiten oder verwundbare Pakete es sei denn, Sie können eine tatsächliche Ausnutzung in Passwork demonstrieren
  • Probleme, die physischen Zugang oder Root-Zugang zu Benutzergeräten erfordern

Safe Harbor

hinweis

Wenn Sie diese Richtlinie befolgen und in gutem Glauben handeln, ist Ihre Sicherheitsforschung autorisiert. Wir werden keine rechtlichen Schritte einleiten und daran arbeiten, Rechtsansprüche Dritter zu minimieren.

Dieser Schutz deckt keine Handlungen ab, die:

  • Benutzern schaden oder auf deren Daten zugreifen
  • Unsere Dienste stören
  • Gesetze jenseits legitimer Sicherheitstests verletzen

Anerkennung

Wir führen eine Hall of Fame für Forscher, die zur Verbesserung der Sicherheit von Passwork beigetragen haben. Teilen Sie uns in Ihrem Bericht mit, wenn Sie aufgeführt werden möchten.

Kontakt

Zuletzt aktualisiert: Dezember 2025

© 2017–2026 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum