Sicherheitsmeldungen
Wie Schwachstellen und sicherheitsrelevante Vorfälle an Obhut gemeldet werden können.
Stand: 29. Juni 2026.
Diese Seite beschreibt den aktuellen Meldeweg für Sicherheitsfunde. Sie ist ein operativer Prozesshinweis, kein Bug-Bounty-Programm und keine Rechtsberatung.
Kontakt
Bitte melde Schwachstellen, Fehlkonfigurationen oder sicherheitsrelevante Beobachtungen an:
support@obhut.ioDer gleiche Kontakt wird über /.well-known/security.txt veröffentlicht.
Was in die Meldung gehört
- Betroffene Domain, Komponente oder Route.
- Reproduzierbare Schritte oder ein minimales Proof-of-Concept.
- Erwartete und beobachtete Auswirkung.
- Zeitpunkt der Beobachtung und verwendete IP/Account-Daten, soweit relevant.
- Ob bereits Daten eingesehen, verändert oder exfiltriert wurden.
- Eine Kontaktadresse für Rückfragen.
Bitte keine produktiven Kundendaten exfiltrieren, keine Persistenz einrichten, keine Social-Engineering-Angriffe durchführen und keine Denial-of-Service-Tests gegen öffentliche Systeme fahren.
Reaktion
Obhut behandelt eingehende Sicherheitsmeldungen priorisiert. Für den ersten Release gilt intern:
| Schwere | Erste Sichtung | Ziel für erste Antwort |
|---|---|---|
| Kritisch | sofort am selben Arbeitstag | 24 Stunden |
| Hoch | gleicher oder nächster Arbeitstag | 48 Stunden |
| Mittel/Niedrig | nächster geplanter Triage-Slot | 5 Arbeitstage |
Zeitfenster sind operative Ziele, keine garantierten SLA. Kunden-, Behörden- oder Meldepflichten werden nach betroffener Vertrags- und Rechtslage separat beurteilt.
Koordinierte Offenlegung
Obhut bittet um koordinierte Offenlegung: Gib uns Zeit zur Prüfung, Behebung und Benachrichtigung betroffener Parteien, bevor Details veröffentlicht werden. Wenn ein Fund wahrscheinlich aktiv ausgenutzt wird oder Kundendaten betroffen sein können, wird er als Incident behandelt.
Interne Arbeitsgrundlage: docs/security-disclosure-incident-runbook.md.