Vulnerability Disclosure Policy
Zuletzt aktualisiert: 2026-07-13Wir nehmen die Sicherheit der AI Zentrale ernst und schätzen den Beitrag von Sicherheitsforschenden, die Schwachstellen verantwortungsvoll an uns melden. Diese Richtlinie beschreibt, wie Sie eine Schwachstelle melden und was Sie dabei erwarten können.
Geltungsbereich
Diese Richtlinie gilt für die öffentlich erreichbaren Systeme der AI Zentrale, die von der BKG Integration UG (haftungsbeschränkt) betrieben werden, einschließlich dieser Marketing-Website und der Produktumgebung der AI Zentrale. Systeme Dritter sind nicht Gegenstand dieser Richtlinie.
Erlaubte Tests
Erlaubt sind Tests, die ausschließlich Ihre eigenen Testkonten oder öffentlich zugängliche, nicht authentifizierte Bereiche betreffen, keine Daten anderer Nutzer oder Organisationen einsehen, verändern oder löschen, und die Verfügbarkeit der Systeme für andere Nutzer nicht beeinträchtigen.
Verbotene Tests
Nicht erlaubt sind unter anderem: Denial-of-Service-Angriffe oder andere Tests, die die Verfügbarkeit beeinträchtigen können, automatisierte Massenscans ohne vorherige Abstimmung, Zugriff auf oder Veränderung von Daten anderer Nutzer oder Organisationen, Social Engineering gegenüber Mitarbeitenden oder Kunden, sowie physische Angriffe auf Standorte oder Infrastruktur.
Verantwortungsvolle Meldung
Melden Sie eine gefundene Schwachstelle zeitnah und ausschließlich an den unten genannten Security-Kontakt. Veröffentlichen Sie Details nicht öffentlich, bevor die Schwachstelle behoben wurde oder eine gemeinsame Frist für die Veröffentlichung vereinbart wurde. Greifen Sie nicht über das zur Bestätigung der Schwachstelle notwendige Maß hinaus auf Daten zu.
Security-Kontakt
E-Mail: info@bkg-integration.de Bitte kennzeichnen Sie Ihre Nachricht im Betreff mit „Security" oder „Vulnerability Disclosure", damit sie zügig bearbeitet werden kann.
Benötigte Angaben
Bitte geben Sie in Ihrer Meldung an: eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen, die betroffene URL, den betroffenen Systembereich oder Endpunkt, die genauen Schritte zur Reproduktion, sowie – falls vorhanden – Screenshots, Logs oder ein Proof of Concept.
Reaktionsprozess
Wir bestätigen den Eingang Ihrer Meldung innerhalb von drei Werktagen, bewerten die Schwachstelle nach Schweregrad und möglicher Auswirkung, halten Sie über den Bearbeitungsstand auf dem Laufenden und informieren Sie, sobald die Schwachstelle behoben ist.
Veröffentlichung
Wir stimmen einen angemessenen Zeitpunkt für eine etwaige öffentliche Veröffentlichung gemeinsam mit Ihnen ab, nachdem die Schwachstelle behoben wurde. Eine Veröffentlichung vor Abstimmung mit uns bitten wir zu unterlassen.
Safe Harbor
Sofern Sie sich im Rahmen dieser Richtlinie in gutem Glauben und im hier beschriebenen Geltungsbereich bewegen, betrachten wir Ihre Tests als autorisierte Sicherheitsforschung. Wir werden in diesem Fall keine rechtlichen Schritte gegen Sie einleiten. Diese Zusicherung gilt nicht für Handlungen außerhalb des beschriebenen Geltungsbereichs oder für verbotene Tests.