Richtlinie zur Offenlegung von Sicherheitslücken

Version: 2026-03-11

1. Zweck und Geltungsbereich

1.1. Die AtroCore GmbH (nachfolgend auch als Unternehmen bezeichnet) ist bestrebt, die Sicherheit ihrer Softwareprodukte, Plattformdienste und internen Systeme zu gewährleisten. Die Sicherheit der uns von unseren Kunden, Partnern und Nutzern anvertrauten Daten hat für uns höchste Priorität.

1.2. Diese Richtlinie zur Offenlegung von Sicherheitslücken (Vulnerability Disclosure Policy, VDP) legt einen transparenten und strukturierten Prozess fest, über den externe Sicherheitsforscher, Kunden, Partner und die Öffentlichkeit (nachfolgend als Meldende bezeichnet) vermutete oder bestätigte Sicherheitslücken in den Produkten und Systemen von AtroCore auf verantwortungsvolle Weise melden können.

1.3. Diese Richtlinie gilt für alle Software, Dienste, APIs und Infrastrukturen, die von der AtroCore GmbH betrieben oder gepflegt werden, einschließlich, aber nicht beschränkt auf:

  • Die AtroCore-Plattform und ihre REST-API
  • AtroPIM und AtroDAM
  • Import-/Export-Feed-Schnittstellen
  • Von AtroCore betriebene SaaS-Umgebungen
  • Öffentlich zugängliche Websites und Webanwendungen von AtroCore

1.4. Diese Richtlinie gilt nicht für Sicherheitslücken in Software oder Diensten Dritter, die AtroCore nicht entwickelt oder kontrolliert, auch wenn diese Software im Zusammenhang mit AtroCore-Produkten eingesetzt wird. Meldende werden gebeten, solche Probleme direkt an den jeweiligen Anbieter zu melden.

2. Unsere Zusagen

2.1. Die AtroCore GmbH verpflichtet sich, in gutem Glauben und konstruktiv mit Sicherheitsforschern und der Sicherheits-Community zusammenzuarbeiten. Im Gegenzug für eine verantwortungsvolle Offenlegung gemäß dieser Richtlinie gibt AtroCore folgende Zusagen:

2.2. Das Unternehmen bestätigt den Eingang einer Meldung innerhalb von 5 Werktagen nach deren Erhalt.

2.3. Das Unternehmen untersucht alle gemeldeten Sicherheitslücken zeitnah und hält die Meldenden im Rahmen des durch Vertraulichkeits- und rechtliche Anforderungen Erlaubten über den Fortschritt der Untersuchung informiert.

2.4. Das Unternehmen wird keine rechtlichen Schritte gegen Meldende einleiten, die Sicherheitslücken in gutem Glauben und im Einklang mit dieser Richtlinie entdecken und melden.

2.5. Das Unternehmen behandelt alle eingereichten Meldungen vertraulich und gibt die persönlichen Daten der Meldenden ohne deren ausdrückliche Einwilligung nicht an Dritte weiter, es sei denn, dies ist gesetzlich vorgeschrieben.

2.6. Das Unternehmen arbeitet daran, bestätigte Sicherheitslücken innerhalb der in Abschnitt 6 dieser Richtlinie festgelegten Fristen zu beheben, und benachrichtigt die Meldenden nach Abschluss der Behebung.

3. Grundsätze der verantwortungsvollen Offenlegung

3.1. Von Meldenden wird erwartet, dass sie in gutem Glauben handeln und ihre Recherchen so durchführen, dass AtroCore, seinen Kunden oder betroffenen Personen kein Schaden entsteht.

3.2. Bei der Untersuchung einer potenziellen Sicherheitslücke ist es Meldenden untersagt:

  • Daten von AtroCore oder seinen Kunden über das zur Demonstration der Sicherheitslücke unbedingt erforderliche Maß hinaus einzusehen, zu verändern, zu löschen oder zu exfiltrieren
  • Denial-of-Service-Angriffe oder sonstige Maßnahmen durchzuführen, die die Verfügbarkeit oder Leistung von AtroCore-Systemen beeinträchtigen
  • Schadsoftware, Backdoors oder sonstigen bösartigen Code in AtroCore-Systeme einzuschleusen
  • Social-Engineering-Angriffe gegen Mitarbeiter, Auftragnehmer oder Kunden von AtroCore durchzuführen
  • Informationen über eine Sicherheitslücke an Dritte weiterzugeben oder öffentlich zu machen, bevor AtroCore eine angemessene Gelegenheit hatte, diese zu untersuchen und zu beheben
  • Automatisierte Scan-Tools gegen Produktionsumgebungen einzusetzen, ohne vorherige schriftliche Genehmigung von AtroCore

3.3. Meldende, die diese Richtlinie einhalten, gelten als in gutem Glauben handelnd. AtroCore wird keine rechtlichen Schritte gegen sie im Zusammenhang mit ihrer Forschungstätigkeit einleiten.

3.4. AtroCore empfiehlt Meldenden, für Sicherheitsuntersuchungen nach Möglichkeit dedizierte Test- oder Staging-Umgebungen zu verwenden. Sofern Meldende unsicher sind, ob eine bestimmte Testaktivität zulässig ist, sollten sie vor der Durchführung Kontakt mit AtroCore aufnehmen.

4. Meldung einer Sicherheitslücke

4.1. Sicherheitslücken sind dem Informationssicherheitsteam von AtroCore per E-Mail an den Datenschutzbeauftragten unter zu melden. Als Betreffzeile ist zu verwenden: „Sicherheitslücke – [Kurzbeschreibung]".

4.2. Um AtroCore eine effiziente Beurteilung und Bearbeitung der Meldung zu ermöglichen, werden Meldende gebeten, soweit möglich folgende Informationen beizufügen:

  • Eine klare und präzise Beschreibung der Sicherheitslücke, einschließlich ihrer Art (z. B. SQL-Injection, fehlerhafte Zugriffskontrolle, Informationsoffenlegung)
  • Das betroffene Produkt, den betroffenen Dienst oder das betroffene System, einschließlich Versionsnummern, soweit bekannt
  • Eine schrittweise Beschreibung der Reproduzierbarkeit der Sicherheitslücke
  • Die potenzielle Auswirkung der Sicherheitslücke, einschließlich der möglicherweise betroffenen Daten oder Funktionen
  • Unterstützende Nachweise wie Screenshots, Proof-of-Concept-Code oder HTTP-Anfrage-/Antwort-Protokolle
  • Die Kontaktdaten der meldenden Person für etwaige Rückfragen von AtroCore

4.3. Meldungen können auf Deutsch oder Englisch eingereicht werden.

4.4. AtroCore betreibt derzeit kein Bug-Bounty-Programm. Sicherheitsmeldungen werden auf freiwilliger Basis und ohne finanzielle Vergütung entgegengenommen, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.

5. Schweregradklassifizierung

5.1. Nach Eingang einer Meldung bewertet AtroCore den Schweregrad der gemeldeten Sicherheitslücke anhand der folgenden Klassifizierung:

Kritisch bezeichnet Sicherheitslücken, die unbefugten Zugriff auf sensible personenbezogene Daten oder vertrauliche Kundendaten ermöglichen, eine Remotecodeausführung oder vollständige Systemkompromittierung erlauben oder die voraussichtlich zu einer Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 33 DSGVO führen.

Hoch bezeichnet Sicherheitslücken, die einen erheblichen unbefugten Zugriff auf Systeme oder Daten ermöglichen, eine Rechteausweitung erlauben oder zentrale Authentifizierungs- oder Autorisierungskontrollen umgehen.

Mittel bezeichnet Sicherheitslücken, die ein nennenswertes Sicherheitsrisiko darstellen, jedoch spezifische Bedingungen oder eine Nutzerinteraktion zur Ausnutzung erfordern oder nur begrenzte Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten haben.

Niedrig bezeichnet Sicherheitslücken mit geringer Ausnutzbarkeit oder Auswirkung, einschließlich informativer Befunde, geringfügiger Fehlkonfigurationen oder Feststellungen, die eher ein theoretisches als ein praktisches Risiko darstellen.

6. Behebungsfristen

6.1. AtroCore verpflichtet sich, bestätigte Sicherheitslücken innerhalb der folgenden Zielfristen zu beheben. Die Fristen beginnen ab dem Datum der Bestätigung der Sicherheitslücke:

Sicherheitslücken mit dem Schweregrad Kritisch werden innerhalb von 72 Stunden behoben.

Sicherheitslücken mit dem Schweregrad Hoch werden innerhalb von 7 Kalendertagen behoben.

Sicherheitslücken mit dem Schweregrad Mittel werden innerhalb von 30 Kalendertagen behoben.

Sicherheitslücken mit dem Schweregrad Niedrig werden innerhalb von 90 Kalendertagen behoben.

6.2. Sollte eine Behebung innerhalb der genannten Fristen technisch oder betrieblich nicht möglich sein, wird AtroCore die Meldenden über die Verzögerung informieren, die Gründe darlegen und ein überarbeitetes Zieldatum mitteilen.

6.3. Wurde eine Sicherheitslücke als Kritisch eingestuft und besteht ein Risiko für personenbezogene Daten, befolgt AtroCore zusätzlich die in der Datenschutzverletzungs-Richtlinie von AtroCore festgelegten Reaktionsverfahren und benachrichtigt gegebenenfalls die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Artikel 33 DSGVO.

7. Koordinierte Offenlegung

7.1. AtroCore verfolgt einen Ansatz der koordinierten Offenlegung. Das bedeutet, dass Details zu Sicherheitslücken nicht öffentlich bekannt gegeben werden, bevor eine Behebung bereitgestellt wurde oder eine vereinbarte Offenlegungsfrist abgelaufen ist.

7.2. AtroCore bittet Meldende, Details zu einer gemeldeten Sicherheitslücke für einen Zeitraum von mindestens 90 Kalendertagen ab dem Datum der ersten Meldung weder zu veröffentlichen noch weiterzugeben, um ausreichend Zeit für Untersuchung und Behebung zu gewähren.

7.3. Sollte AtroCore eine Sicherheitslücke nicht innerhalb von 90 Tagen beheben können, wird das Unternehmen in gutem Glauben mit den Meldenden zusammenarbeiten, um eine angemessene verlängerte Offenlegungsfrist zu vereinbaren.

7.4. AtroCore kann mit Einwilligung der Meldenden deren Beitrag nach Behebung der gemeldeten Sicherheitslücke öffentlich anerkennen.

8. Nicht erfasste Sachverhalte

8.1. Die folgenden Kategorien von Sachverhalten gelten als nicht im Geltungsbereich dieser Richtlinie liegend und werden in der Regel nicht als gültige Sicherheitsmeldungen akzeptiert:

  • Sicherheitslücken in Software, Bibliotheken oder Diensten Dritter, die nicht unter der Kontrolle von AtroCore stehen
  • Sachverhalte, die physischen Zugang zu einem Gerät oder System erfordern
  • Social-Engineering- oder Phishing-Angriffe gegen AtroCore-Mitarbeiter
  • Denial-of-Service-Angriffe oder Befunde, die aus solchen Angriffen resultieren
  • Theoretische Sicherheitslücken ohne nachgewiesenen oder plausiblen Ausnutzungspfad
  • Fehlende Sicherheits-Header oder TLS-Konfigurationsprobleme bei nicht sicherheitsrelevanten Endpunkten mit vernachlässigbarem Risiko
  • Berichte, die durch automatisierte Scan-Tools ohne begleitende Analyse oder Nachweis der Ausnutzbarkeit erstellt wurden
  • Sachverhalte, die Softwareversionen betreffen, die ihr Nutzungsende erreicht haben und von AtroCore nicht mehr unterstützt werden

9. Überprüfung der Richtlinie

9.1. Diese Richtlinie wird mindestens einmal jährlich überprüft, sowie nach einem erheblichen Sicherheitsvorfall, wesentlichen Änderungen an den Produkten oder der Infrastruktur von AtroCore oder relevanten Änderungen des anwendbaren EU- oder deutschen Rechts.

9.2. Der Datenschutzbeauftragte ist für die Pflege und Aktualisierung dieser Richtlinie verantwortlich und muss bei jeder Überprüfung, die die Verarbeitung personenbezogener Daten betrifft, hinzugezogen werden.

Für Sicherheitsmeldungen und Sicherheitsanfragen wenden Sie sich an: