Skip to main contentSkip to main content
English Version

Sicherheitsrichtlinie

Verantwortungsvolle Offenlegung von Schwachstellen und Sicherheitskontakt

Stand: 18. April 2026 · Caelex, Julian Polleschner, Berlin · Version 1.0

Die Sicherheit der Caelex-Plattform hat höchste Priorität. Diese Richtlinie regelt, wie Sie uns Sicherheitsprobleme melden, welche Erwartungen wir aneinander haben und wie wir Schwachstellen handhaben (Coordinated Vulnerability Disclosure).

Diese Richtlinie ergänzt die technischen und organisatorischen Maßnahmen in DPA Anlage 1 (/legal/dpa) und § 21 der AGB V3.0.

§ 1 Meldekanal

Sicherheitslücken melden Sie bitte an security@caelex.eu. Der maschinenlesbare Kontakt ist unter /.well-known/security.txt gemäß RFC 9116 abrufbar.

Melden Sie bitte keine Sicherheitsprobleme über den allgemeinen Support, soziale Medien oder GitHub Issues — diese Kanäle sind nicht für vertrauliche Meldungen geeignet.

§ 2 Was Sie melden sollten

Wir begrüßen insbesondere Meldungen zu:

  • Authentifizierungs- oder Autorisierungsschwächen
  • Injection-Schwachstellen (SQL, XSS, Command, LDAP)
  • Server-Side Request Forgery (SSRF)
  • Cross-Site Request Forgery (CSRF)
  • Verletzung der Mandantentrennung
  • sensiblen Datenverlust (PII, Zugangsdaten)
  • fehlerhafter Konfiguration sicherheitsrelevanter Header
  • Unsicherheiten in der Session-, Token- oder Cookie-Behandlung
  • Umgehung von Rate-Limits mit signifikanter Auswirkung

§ 3 Safe-Harbor / Erwartungen an Forscher

Wenn Sie in gutem Glauben und im Rahmen dieser Richtlinie Sicherheitstests durchführen und uns Ergebnisse melden, werden wir keine rechtlichen Schritte gegen Sie einleiten (Safe Harbor).

Voraussetzungen:

  • Keine Beeinträchtigung der Verfügbarkeit der Plattform (kein DDoS, keine Lasttests ohne Freigabe)
  • Keine Destruktion, Modifikation oder Exfiltration von Kundendaten über das zur Demonstration notwendige Mindestmaß hinaus
  • Kein Zugriff auf Accounts oder Daten anderer Nutzer; nutzen Sie ausschließlich eigene Testaccounts
  • Keine öffentliche Offenlegung vor gemeinsam vereinbartem Veröffentlichungsdatum (Standard: 90 Tage ab Meldung oder ab Patch, je nach gemeinsamer Absprache)
  • Keine Verletzung anwendbaren Rechts oder Rechten Dritter
  • Meldung mit ausreichender Detailtiefe zur Reproduktion

§ 4 Unser Versprechen

  • Eingangsbestätigung innerhalb von 2 Werktagen
  • Erste inhaltliche Rückmeldung innerhalb von 5 Werktagen
  • Fortlaufende Updates zum Fortschritt
  • Namentliche Nennung in unserer Hall of Fame (siehe § 6), sofern gewünscht
  • Keine rechtlichen Schritte bei gutgläubiger Forschung im Rahmen dieser Richtlinie (§ 3)
  • Kritische Schwachstellen werden mit höchster Priorität behandelt

§ 5 Ausgeschlossene Bereiche

Nicht unter diese Richtlinie fallen Tests an Drittdiensten und Bereichen, die nicht unter unserer Kontrolle stehen, insbesondere:

  • Infrastruktur unserer Sub-Auftragsverarbeiter (Vercel, Neon, Upstash, Stripe, Resend, Sentry, Anthropic) — bitte deren eigene Responsible-Disclosure-Programme nutzen
  • Social-Engineering-Angriffe gegen Mitarbeiter oder Kunden
  • Physische Angriffe
  • Denial-of-Service, Brute-Force und volumetrische Tests

§ 6 Hall of Fame

Wir danken folgenden Sicherheitsforschern für verantwortungsvolle Offenlegung. Diese Liste wird mit Ihrer Zustimmung gepflegt; ohne Zustimmung bleibt Ihre Meldung vertraulich.

Aktuell noch keine Einträge — wir freuen uns auf Ihre Meldungen.

§ 7 PGP-Schlüssel

Für besonders sensible Meldungen stellen wir auf Anfrage einen PGP-Schlüssel zur Verfügung. Anforderung unter security@caelex.eu mit Betreff „PGP-Schlüssel anfordern“.

Kontakt

CaelexSicherheitskontakt:security@caelex.euMachine-readable contact (RFC 9116):https://www.caelex.eu/.well-known/security.txt

Version 1.0 · 18. April 2026

/.well-known/security.txtDPA (TOMs)AGB § 21Impressum