Vulnerability Disclosure Policy

Zuletzt aktualisiert: 2026-07-13

Wir nehmen die Sicherheit der AI Zentrale ernst und schätzen den Beitrag von Sicherheitsforschenden, die Schwachstellen verantwortungsvoll an uns melden. Diese Richtlinie beschreibt, wie Sie eine Schwachstelle melden und was Sie dabei erwarten können.

Geltungsbereich

Diese Richtlinie gilt für die öffentlich erreichbaren Systeme der AI Zentrale, die von der BKG Integration UG (haftungsbeschränkt) betrieben werden, einschließlich dieser Marketing-Website und der Produktumgebung der AI Zentrale. Systeme Dritter sind nicht Gegenstand dieser Richtlinie.

Erlaubte Tests

Erlaubt sind Tests, die ausschließlich Ihre eigenen Testkonten oder öffentlich zugängliche, nicht authentifizierte Bereiche betreffen, keine Daten anderer Nutzer oder Organisationen einsehen, verändern oder löschen, und die Verfügbarkeit der Systeme für andere Nutzer nicht beeinträchtigen.

Verbotene Tests

Nicht erlaubt sind unter anderem: Denial-of-Service-Angriffe oder andere Tests, die die Verfügbarkeit beeinträchtigen können, automatisierte Massenscans ohne vorherige Abstimmung, Zugriff auf oder Veränderung von Daten anderer Nutzer oder Organisationen, Social Engineering gegenüber Mitarbeitenden oder Kunden, sowie physische Angriffe auf Standorte oder Infrastruktur.

Verantwortungsvolle Meldung

Melden Sie eine gefundene Schwachstelle zeitnah und ausschließlich an den unten genannten Security-Kontakt. Veröffentlichen Sie Details nicht öffentlich, bevor die Schwachstelle behoben wurde oder eine gemeinsame Frist für die Veröffentlichung vereinbart wurde. Greifen Sie nicht über das zur Bestätigung der Schwachstelle notwendige Maß hinaus auf Daten zu.

Security-Kontakt

E-Mail: info@bkg-integration.de Bitte kennzeichnen Sie Ihre Nachricht im Betreff mit „Security" oder „Vulnerability Disclosure", damit sie zügig bearbeitet werden kann.

Benötigte Angaben

Bitte geben Sie in Ihrer Meldung an: eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen, die betroffene URL, den betroffenen Systembereich oder Endpunkt, die genauen Schritte zur Reproduktion, sowie – falls vorhanden – Screenshots, Logs oder ein Proof of Concept.

Reaktionsprozess

Wir bestätigen den Eingang Ihrer Meldung innerhalb von drei Werktagen, bewerten die Schwachstelle nach Schweregrad und möglicher Auswirkung, halten Sie über den Bearbeitungsstand auf dem Laufenden und informieren Sie, sobald die Schwachstelle behoben ist.

Veröffentlichung

Wir stimmen einen angemessenen Zeitpunkt für eine etwaige öffentliche Veröffentlichung gemeinsam mit Ihnen ab, nachdem die Schwachstelle behoben wurde. Eine Veröffentlichung vor Abstimmung mit uns bitten wir zu unterlassen.

Safe Harbor

Sofern Sie sich im Rahmen dieser Richtlinie in gutem Glauben und im hier beschriebenen Geltungsbereich bewegen, betrachten wir Ihre Tests als autorisierte Sicherheitsforschung. Wir werden in diesem Fall keine rechtlichen Schritte gegen Sie einleiten. Diese Zusicherung gilt nicht für Handlungen außerhalb des beschriebenen Geltungsbereichs oder für verbotene Tests.