01
Unser Versprechen
Die Sicherheit der PraxisKompetenz-Plattform und der ihr anvertrauten Daten hat für uns höchste Priorität. Wir wissen, dass keine Software fehlerfrei ist — und wir sind für jeden Hinweis dankbar, der uns hilft, Sicherheitslücken zu schließen, bevor sie Schaden anrichten können.
Diese Policy beschreibt, wie Sie uns Schwachstellen melden können und was Sie von uns dabei erwarten dürfen. Sie richtet sich an Sicherheitsforschende, IT-Verantwortliche unserer Kundschaft sowie alle, die in gutem Glauben zur Verbesserung unserer Sicherheit beitragen wollen.
Kernversprechen
Wer in gutem Glauben Schwachstellen meldet, hat von uns eine Bestätigung binnen 72 Stunden, regelmäßige Status-Updates und — auf Wunsch — namentliche Anerkennung zu erwarten. Rechtliche Schritte gegen verantwortungsvolle Hinweise schließen wir aus.
02
Geltungsbereich
Im Geltungsbereich
- praxiskompetenz.org und alle Subdomains
- Die PraxisKompetenz-Plattform und ihre API-Endpunkte
- Authentifizierungs- und Autorisierungsmechanismen
- Datenisolierung zwischen Mandanten (Praxen)
- E-Mail-Infrastruktur unter @praxiskompetenz.org
Außerhalb des Geltungsbereichs
- Social-Engineering-Angriffe gegen Mitarbeitende oder Kundschaft
- Physische Angriffe auf Gebäude oder Hardware
- Denial-of-Service-Angriffe und Lasttests jeder Art
- Tests gegen Drittanbieter-Infrastruktur (IONOS, Vercel, Supabase, mailbox.org)
- Spam oder Phishing über die Plattform ohne zugrunde liegende technische Schwachstelle
03
Wie Sie uns erreichen
Meldekanal
Bevorzugte SprachenDeutsch, Englisch
PGP-VerschlüsselungOptional. Den öffentlichen Schlüssel veröffentlichen wir unter /.well-known/security-pgp.asc, sobald aktiv.
Welche Informationen wir benötigen
Bitte teilen Sie uns folgende Informationen mit, soweit Ihnen möglich:
- Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen
- Schritte zur Reproduktion (Proof-of-Concept ohne schädliche Ausführung)
- Betroffene URL, Endpunkt oder Funktion
- Verwendete Browser, Werkzeuge oder Konfigurationen
- Ob und wie Sie genannt werden möchten, falls wir die Meldung anerkennen
04
Was Sie von uns erwarten dürfen
Bearbeitungsablauf
- Bestätigung binnen 72 Stunden nach Eingang der Meldung. Ohne Antwort bitte den Spam-Ordner prüfen und alternativ über datenschutz@praxiskompetenz.org kontaktieren.
- Erstbewertung binnen 7 Tagen mit Einschätzung des Schweregrads und voraussichtlichem Behebungszeitraum.
- Status-Updates mindestens alle 14 Tage bis zur Behebung.
- Behebungsbestätigung, sobald die Schwachstelle geschlossen ist.
- Anerkennung auf Wunsch namentlich im Trust Center und in den Release-Notes des betroffenen Updates.
Rechtlicher Schutz · Safe Harbor
Wir verzichten auf rechtliche Schritte gegen Personen, die in gutem Glauben und im Einklang mit dieser Policy Schwachstellen melden. Das gilt insbesondere für die zur Reproduktion erforderlichen technischen Handlungen, soweit sie keine Daten Dritter gefährden und keinen Service-Ausfall verursachen.
05
Was wir von Ihnen erwarten
- Vertraulichkeit bis zur Behebung. Bitte machen Sie die Schwachstelle nicht öffentlich, bevor wir sie geschlossen haben. Eine angemessene Frist sind 90 Tage ab Bestätigung der Meldung. Bei kritischen Lücken stimmen wir die Veröffentlichung gemeinsam ab.
- Keine Datenexfiltration. Greifen Sie nur auf so viele Daten zu, wie zum Nachweis unbedingt nötig. Daten Dritter dürfen unter keinen Umständen heruntergeladen, kopiert oder weitergegeben werden.
- Keine Manipulation. Nehmen Sie keine Änderungen an Daten oder System vor, löschen Sie keine Daten und legen Sie keine über den Reproduktionsbedarf hinausgehenden Konten an.
- Keine Beeinträchtigung des Betriebs. Vermeiden Sie automatisierte Massentests, Lasttests und alles, was den regulären Betrieb stört.
- Datenschutzkonformität. Alle Aktivitäten haben den Anforderungen der DSGVO und des deutschen Datenschutzrechts zu entsprechen.
06
Was uns besonders interessiert
Beispiele für Schwachstellen, deren Meldung uns besonders wichtig ist:
- Authentifizierungs-Bypass und Privilege Escalation
- Cross-Tenant-Datenzugriff (Verletzung der Mandantentrennung)
- SQL-Injection oder andere Code-Ausführung
- Cross-Site-Scripting (XSS) mit Auswirkung auf andere Nutzende
- Cross-Site-Request-Forgery (CSRF) bei Funktionen mit Datenbezug
- Server-Side-Request-Forgery (SSRF)
- Offenlegung sensibler Daten oder Konfigurationen
- Schwachstellen in der Datenisolierung der Plattform-Datenbank
- Umgehung der Auto-Logout-Funktion oder anderer Sicherheitskontrollen
07
Was wir in der Regel nicht als Schwachstelle einstufen
Folgende Meldungen führen üblicherweise nicht zu einer Behebung oder Anerkennung:
- Self-XSS, das nur die meldende Person betrifft
- Reine Konfigurationshinweise ohne demonstrierten Exploit (z. B. fehlende Sicherheitsheader ohne konkrete Angriffsmöglichkeit)
- Theoretische CSRF-Hinweise auf Funktionen ohne Authentifizierungsbezug
- Schwachstellen in Drittbibliotheks-Versionen ohne Nachweis der Ausnutzbarkeit in unserer Anwendung
- Hinweise auf SPF-, DKIM- oder DMARC-Konfigurationen ohne konkretes Phishing-Risiko
- Schwachstellen, die ausschließlich physischen Zugriff auf das Endgerät voraussetzen
08
Anerkennung
Wir sind ein vorgründungsphasiges Startup und betreiben derzeit kein monetäres Bug-Bounty-Programm. Wir bieten dafür eine namentliche Anerkennung an:
- Erwähnung in unserem Trust Center unter „Anerkannte Sicherheitshinweise"
- Verlinkung auf eine Profilseite Ihrer Wahl (LinkedIn, GitHub, eigene Website)
- Erwähnung in den Release-Notes des Sicherheitsupdates
Voraussetzung ist Ihr ausdrückliches Einverständnis. Sie können jederzeit auf Anonymität bestehen. Mit dem Eintritt in die Marktphase werden wir die Einführung eines monetären Bug-Bounty-Programms prüfen.