Efficlose

Richtlinie zur Offenlegung von Sicherheitslücken

Efficlose Richtlinie zur Offenlegung von Sicherheitslücken. Erfahren Sie, wie Sie Sicherheitslücken verantwortungsvoll an uns melden.

Letzte Aktualisierung: 21. Dezember 2025

Einführung

Efficlose bemüht sich, unseren Partnern und Kunden zu helfen, das mit Sicherheitslücken in unseren Produkten verbundene Risiko zu minimieren. Wir sind verpflichtet, branchenübliche Best Practices in Sicherheit und Umgang mit Sicherheitslücken einzuhalten und zielen darauf ab, Kunden zeitnahe Informationen, Anleitungen und Minderungsoptionen zur Behebung von Sicherheitslücken bereitzustellen.

Umgang mit Meldungen über Sicherheitslücken

Wir schätzen die Erkenntnisse von Branchenpartnern und Sicherheitsforschern und schätzen alle Beiträge zu unseren Sicherheitsinitiativen. Unser Ziel ist es sicherzustellen, dass Abhilfemaßnahmen und/oder Minderungsstrategien zum Zeitpunkt der Offenlegung von Efficlose-spezifischen Sicherheitslücken verfügbar sind und mit Drittanbietern zusammenzuarbeiten, wenn Abhilfemaßnahmen deren Zusammenarbeit erfordern.

Wenn Sie glauben, eine Sicherheitslücke, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Assets entdeckt zu haben, möchten wir von Ihnen hören. Diese Richtlinie beschreibt Schritte zur Meldung von Sicherheitslücken an uns, was wir erwarten und was Sie von uns erwarten können.

Gemäß dieser Richtlinie gelten alle Informationen, die über neue Sicherheitslücken offengelegt werden, als vertraulich und werden nur zwischen Efficlose und der meldenden Partei geteilt, wenn die Informationen nicht bereits öffentlich bekannt sind, bis eine Abhilfe verfügbar ist und Offenlegungsaktivitäten koordiniert werden.

Systeme im Geltungsbereich

Diese Richtlinie gilt für alle Assets, die Efficlose besitzt, betreibt oder verwaltet, einschließlich:

  • Die Efficlose-Website und Webanwendungen
  • Efficlose-Mobilanwendungen
  • Efficlose-APIs und Backend-Dienste
  • Alle anderen digitalen Assets unter der Domain efficlose.com

Außerhalb des Geltungsbereichs

Folgendes gilt als außerhalb des Geltungsbereichs dieser Richtlinie:

  • Assets oder andere Ausrüstung, die nicht Efficlose gehört
  • Drittanbieter-Dienste, die in Efficlose integriert sind (diese sollten dem jeweiligen Anbieter gemeldet werden)
  • Social-Engineering-Angriffe gegen Efficlose-Mitarbeiter oder Auftragnehmer
  • Physische Sicherheitslücken
  • Denial-of-Service (DoS)-Angriffe

Sicherheitslücken, die in Systemen außerhalb des Geltungsbereichs entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Unsere Verpflichtungen

Wenn Sie mit uns gemäß dieser Richtlinie zusammenarbeiten, können Sie erwarten, dass wir:

  • Schnell reagieren: Wir werden Ihre Meldung innerhalb von 3 Werktagen bestätigen und mit Ihnen zusammenarbeiten, um Ihre Meldung zu verstehen und zu validieren.
  • Sie auf dem Laufenden halten: Wir werden uns bemühen, Sie über den Fortschritt einer Sicherheitslücke zu informieren, während sie verarbeitet wird.
  • Schnell Abhilfe schaffen: Wir werden daran arbeiten, entdeckte Sicherheitslücken schnell zu beheben, innerhalb unserer operativen Einschränkungen.
  • Safe Harbor bereitstellen: Wir bieten Safe-Harbor-Schutz für Ihre Sicherheitsforschung im Zusammenhang mit dieser Richtlinie.
  • Forscher würdigen: Mit Ihrer Erlaubnis werden wir Ihren Beitrag in unseren Sicherheitshinweisen anerkennen.

Unsere Erwartungen

Bei der Teilnahme an unserem Programm zur Offenlegung von Sicherheitslücken in gutem Glauben bitten wir Sie:

  • Die Regeln befolgen: Halten Sie sich an die Regeln, einschließlich dieser Richtlinie und anderer relevanter Vereinbarungen. Wenn es eine Unstimmigkeit zwischen dieser Richtlinie und anderen anwendbaren Bedingungen gibt, haben die Bedingungen dieser Richtlinie Vorrang.
  • Schnell melden: Melden Sie alle Sicherheitslücken, die Sie entdeckt haben, umgehend.
  • Privatsphäre respektieren: Vermeiden Sie Verletzungen der Privatsphäre anderer, Störungen unserer Systeme, Zerstörung von Daten und/oder Schädigung der Benutzererfahrung.
  • Offizielle Kanäle verwenden: Verwenden Sie nur die offiziellen Kanäle, um Sicherheitsinformationen mit uns zu besprechen.
  • Angemessene Zeit gewähren: Geben Sie uns eine angemessene Zeit (mindestens 90 Tage ab der ersten Meldung), um das Problem zu lösen, bevor Sie es öffentlich offenlegen.
  • Im Geltungsbereich bleiben: Führen Sie Tests nur an Systemen im Geltungsbereich durch und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen.
  • Datenzugriff begrenzen: Wenn eine Sicherheitslücke unbeabsichtigten Zugriff auf Daten bietet, begrenzen Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das erforderlich ist, um einen Proof of Concept effektiv zu demonstrieren. Beenden Sie auch Tests und reichen Sie sofort eine Meldung ein, wenn Sie während des Tests auf Benutzerdaten stoßen, wie personenbezogene Daten (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder proprietäre Informationen.
  • Testkonten verwenden: Sie sollten nur mit Testkonten interagieren, die Ihnen gehören oder mit ausdrücklicher Erlaubnis des Kontoinhabers.
  • Vertraulichkeit wahren: Geben Sie keine Details zu Sicherheitslücken preis, bis Efficlose die Behebung bestätigt.
  • Keine Daten speichern: Speichern Sie keine Daten, die während des Testprozesses entdeckt wurden.
  • Keine Erpressung: Betreiben Sie keine Erpressung.

Offizielle Kanäle

Bitte melden Sie Sicherheitsprobleme über [email protected] und geben Sie alle relevanten Informationen an. Je mehr Details Sie bereitstellen, desto schneller können wir das Problem priorisieren und beheben.

Beim Einreichen einer Meldung geben Sie bitte an:

  • Beschreibung der Sicherheitslücke
  • Schritte zur Reproduktion des Problems
  • Potenzielle Auswirkungen der Sicherheitslücke
  • Proof-of-Concept-Code oder Screenshots
  • Ihre Kontaktinformationen für Nachfragen

Safe Harbor

Bei der Durchführung von Sicherheitsforschung gemäß dieser Richtlinie betrachten wir diese Forschung als:

  • Autorisiert bezüglich Anti-Hacking-Gesetzen: Wir werden keine rechtlichen Schritte gegen Sie einleiten oder unterstützen für versehentliche, gutgläubige Verstöße gegen diese Richtlinie.
  • Autorisiert bezüglich Anti-Umgehungsgesetzen: Wir werden keine Ansprüche gegen Sie wegen Umgehung von Technologiekontrollen geltend machen.
  • Befreit von Einschränkungen der Allgemeinen Geschäftsbedingungen: Wir verzichten auf Einschränkungen in unseren Allgemeinen Geschäftsbedingungen (TOS) und/oder unserer Richtlinie zur akzeptablen Nutzung (AUP), die die Durchführung von Sicherheitsforschung in begrenztem Umfang beeinträchtigen würden.
  • Rechtmäßig und in gutem Glauben: Ihre Forschung gilt als rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Sie werden erwartet, alle anwendbaren Gesetze in Ihrer Forschung, Tests und Meldungen einzuhalten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Wenn Sie Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung jederzeit mit dieser Richtlinie übereinstimmt, senden Sie bitte eine Meldung an [email protected].

Beachten Sie, dass der Safe Harbor nur für rechtliche Ansprüche unter der Kontrolle von Efficlose gilt und dass die Richtlinie unabhängige Dritte nicht bindet.

Antwortzeitplan

Wir streben an, diese Antwortzeitpläne einzuhalten:

AktionZeitplan
Erste BestätigungInnerhalb von 3 Werktagen
Priorisierung und erste BewertungInnerhalb von 7 Werktagen
StatusupdateAlle 14 Tage während der Untersuchung
BehebungszielInnerhalb von 90 Tagen für die meisten Sicherheitslücken

Anerkennung

Wir glauben an die Anerkennung der wertvollen Beiträge von Sicherheitsforschern. Mit Ihrer Erlaubnis werden wir:

  • Sie in unseren Sicherheitshinweisen anerkennen
  • Sie in unsere Security Researcher Hall of Fame aufnehmen (falls zutreffend)
  • Auf Anfrage ein Anerkennungsschreiben bereitstellen

Änderungen an dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit überarbeiten. Die aktuellste Version der Richtlinie regelt unseren Umgang mit Meldungen über Sicherheitslücken und ist immer unter vulnerability-disclosure verfügbar.

Kontaktieren Sie uns

Wenn Sie Fragen zu dieser Richtlinie zur Offenlegung von Sicherheitslücken haben, kontaktieren Sie uns bitte unter:

Wir schätzen Ihre Hilfe dabei, Efficlose und unsere Benutzer sicher zu halten.