Vulnerability Disclosure Policy

Koordinierte Offenlegung von Schwachstellen

Coordinated Vulnerability Disclosure / VDP für Password Depot

Stand: 10. März 2026

Sicherheitslücke melden Security Advisories
Safe Harbor Geltungsbereich 48h Bestätigung Coordinated Disclosure
Zweck & Geltungsbereich

Zweck dieser Policy

AceBIT GmbH begrüßt Hinweise auf Sicherheitslücken in Password Depot und in zugehörigen, von AceBIT verantworteten produktbezogenen Webdiensten. Diese Policy beschreibt, wie Sicherheitsforscher potenzielle Schwachstellen melden können, welche Regeln bei der Sicherheitsforschung gelten und welche Zusagen AceBIT im Rahmen einer koordinierten Offenlegung macht.

Meldungen können auf Deutsch oder Englisch erfolgen.

Geltungsbereich

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Produktbezogene Webdienste unter password-depot.de

Einschließlich Drittkomponenten, soweit sie Bestandteil der genannten Produkte sind.

Nicht erfasst

  • Produktive Kundenumgebungen, kundenspezifische Installationen und sonstige Systeme Dritter
  • Von Dritten betriebene Dienste oder Infrastrukturen, die nicht Bestandteil von Password Depot sind
  • Social Engineering, Phishing, physische Angriffe, Spam, Brute Force, Credential Stuffing, Massenscans oder Denial-of-Service-Tests
Safe Harbor

Safe Harbor

Wenn Sie in gutem Glauben handeln, sich an diese Policy halten, Ihre Tests auf den oben beschriebenen Geltungsbereich beschränken und keine Daten auslesen, verändern, löschen, exfiltrieren oder Dienste beeinträchtigen, sehen wir – soweit rechtlich zulässig – von zivilrechtlichen Ansprüchen wegen dieser Sicherheitsforschung ab.

Soweit dies in unserem Einflussbereich liegt und rechtlich zulässig ist, werden wir wegen solcher Sicherheitsforschung auch keine Strafanzeige erstatten.

Dies gilt nicht für Handlungen außerhalb des Geltungsbereichs, für Tests gegen Kunden- oder sonstige Drittsysteme, für Datenschutzverletzungen, Betriebsstörungen oder sonstige Verstöße gegen anwendbares Recht.

Diese Policy ist keine Erlaubnis für Tests außerhalb des hier beschriebenen Geltungsbereichs.
Guidelines

Unsere Erwartungen an Sicherheitsforscher

1 Handeln Sie sorgfältig, in gutem Glauben und beschränken Sie Ihre Tests auf das Notwendige, um die Schwachstelle nachvollziehbar zu belegen.
2 Greifen Sie nicht auf echte Kundendaten zu. Falls Sie unbeabsichtigt Zugriff auf sensible Daten erhalten, stoppen Sie den Test sofort und informieren Sie uns unverzüglich.
3 Verändern, löschen, exfiltrieren oder veröffentlichen Sie keine Daten.
4 Führen Sie keine Tests durch, die Systeme oder Dienste beeinträchtigen oder ihre Verfügbarkeit verschlechtern können.
5 Verwenden Sie kein Social Engineering, kein Phishing, keine physischen Angriffe und installieren Sie keine Hintertüren oder Persistenzmechanismen.
6 Teilen Sie Details nicht öffentlich, bevor wir gemeinsam einen abgestimmten Veröffentlichungszeitpunkt festgelegt haben.
Meldung

So melden Sie eine Sicherheitslücke

Meldung senden

Bitte senden Sie Ihre Meldung an:

security@password-depot.de

Bitte fügen Sie bei

  • Betroffenes Produkt, Version, Build und Komponente
  • Beschreibung der Schwachstelle
  • Schritte zur Reproduktion / Proof of Concept
  • Einschätzung zu Auswirkungen und Schweregrad
  • Testumgebung, Konfiguration und Voraussetzungen
  • Kontaktdaten und ggf. Wunsch zur Namensnennung
Bitte senden Sie keine unnötigen personenbezogenen Daten und keine großen Datenbestände aus produktiven Umgebungen.

Vertraulichkeit

Wir behandeln Ihre Meldung und – sofern von Ihnen gewünscht – Ihre Identität vertraulich, soweit dies rechtlich zulässig ist. Wir veröffentlichen Ihren Namen nur mit Ihrer vorherigen Zustimmung.

Eine Weitergabe Ihrer Angaben erfolgt nur, soweit dies zur Prüfung, Behebung und koordinierten Offenlegung der Schwachstelle oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Prozess

Was nach Ihrer Meldung passiert

Eingangsbestätigung 48 Stunden Wir bestätigen den Eingang Ihrer Meldung.
Erste Bewertung 7 Tage Wir teilen Ihnen mit, ob wir die Meldung als valide, dupliziert, außerhalb des Geltungsbereichs oder derzeit nicht nachvollziehbar einstufen.
Laufende Updates alle 30 Tage Wir informieren Sie über den Bearbeitungsstand bis zur Behebung oder bis zur abgestimmten Offenlegung.
Offenlegung

Koordinierte Offenlegung und Security Advisories

Sobald ein Security Update oder eine andere wirksame Abhilfemaßnahme verfügbar ist, veröffentlichen wir für bestätigte und behebungsrelevante Schwachstellen in der Regel einen Security Advisory.

Falls eine sofortige Veröffentlichung die Sicherheit unserer Nutzer gefährden würde, können wir die Veröffentlichung bis zu einem angemessenen Zeitpunkt verschieben.

Ein Advisory enthält mindestens

  • Eine Beschreibung der Schwachstelle
  • Die betroffenen Produkte und Versionen
  • Auswirkungen und Schweregrad
  • Klare Hinweise zur Behebung oder Minderung

Hinweis zu gesetzlichen Meldepflichten

Wenn eine Meldung auf eine aktiv ausgenutzte Schwachstelle oder auf einen schweren Sicherheitsvorfall hindeutet, können wir gesetzlich verpflichtet sein, erforderliche technische Informationen an zuständige Behörden, das zuständige CSIRT und ENISA zu übermitteln sowie betroffene Nutzer zu informieren.

Ihre Identität geben wir dabei nur weiter, soweit dies rechtlich erforderlich ist.

Anerkennung

Wir bieten derzeit keine finanziellen Prämien oder Bug-Bounty-Zahlungen an, sofern dies nicht ausdrücklich separat angekündigt wird.

Wenn Sie möchten, nennen wir Sie nach Behebung der Schwachstelle in einem Security Advisory oder in einer Danksagung. Bitte teilen Sie uns dies bei Ihrer Meldung mit.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Deutschland
E-Mail: security@password-depot.de
Schwachstelle melden