Zum Hauptinhalt springen
Coordinated Vulnerability Disclosure

Sicherheit nehmen wir ernst

Haben Sie eine Sicherheitsluecke in einem codekunst-Produkt entdeckt? Wir reagieren schnell, transparent und ohne juristische Eskalation gegen Forscher, die sich an diese Richtlinien halten.

Sicherheitsluecken melden

Direkter, vertraulicher Kanal an unser Security-Team.

E-Mail:security@codekunst-systems.com
Reaktionszeit:innerhalb von 24 Stunden (Werktag)
Verschluesselung:PGP-Key auf Anfrage

Unser Disclosure-Prozess

Vier Stufen — orientiert am EU Cyber Resilience Act (CRA, Art. 14) und ISO/IEC 29147.

SCHRITT 1

Meldung

0 h

Senden Sie eine E-Mail an security@codekunst-systems.com mit Beschreibung der Luecke, betroffener Version, Reproduktionsschritten und ggf. Proof-of-Concept. Bitte keine oeffentliche Veroeffentlichung vor Abstimmung mit uns.

SCHRITT 2

Eingangsbestaetigung

<24 h

Wir bestaetigen den Eingang innerhalb von 24 Stunden (an Werktagen). Ein verantwortlicher Security-Lead wird benannt und ist Ihr direkter Ansprechpartner.

SCHRITT 3

Triage & Patch

72 h (Triage) / je nach Schwere

Wir bewerten die Schwere nach CVSS, planen den Patch und stimmen mit Ihnen einen Disclosure-Zeitplan ab. Bei kritischen Luecken (CVSS >= 9.0) priorisieren wir Hotfixes. Bei aktiv ausgenutzten Schwachstellen erfolgt parallel die Meldung an ENISA/das nationale CSIRT gemaess CRA.

SCHRITT 4

Patch-Release & Disclosure

abgestimmt

Patch wird veroeffentlicht, Kunden informiert. Auf Wunsch nennen wir Sie als Entdecker (Hall of Fame, Credits). Verzicht auf juristische Schritte gegen Forscher, die sich an diese Richtlinien halten (Safe Harbor).

Im Geltungsbereich

Diese Richtlinie gilt fuer alle aktiv unterstuetzten Versionen unserer Produkte:

  • FileMaster MCP
  • SmartMailbox MCP
  • SyslogViz3D
  • DustOff
  • VhdxToFsLogix
  • SimpleAssetManager
  • SimpleWindowsTail (Freeware)
  • Essentials (Industrie-Loesung)
  • www.codekunst-systems.com und Subdomains

Nicht im Geltungsbereich

Folgende Tests bitten wir zu unterlassen:

  • Denial-of-Service (DoS/DDoS) gegen Produktivsysteme
  • Social Engineering gegen Mitarbeiter
  • Physische Angriffe auf unsere Standorte
  • Spam, Brute-Force-Logins, Massen-Scans
  • Kunden-Installationen unserer Produkte (kontaktieren Sie direkt den Kunden)
  • Schwachstellen in Dritt-Software (z. B. Windows, Docker, Node.js) — bitte direkt beim Hersteller melden

EU Cyber Resilience Act (CRA)

Ab dem 11. September 2026 sind wir verpflichtet, aktiv ausgenutzte Schwachstellen in unseren Produkten innerhalb von 24 Stunden an ENISA bzw. das nationale CSIRT zu melden (Fruehwarnung), gefolgt von einer detaillierten Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb von 14 Tagen. Wir halten dafuer interne Prozesse bereit. Hinweise von Sicherheitsforschern fliessen in diese Prozesse mit ein.

Safe Harbor

Wir verfolgen keine juristischen Schritte gegen Sicherheitsforscher, die sich an diese Richtlinie halten, in gutem Glauben handeln und die Vertraulichkeit der Meldung wahren, bis ein Patch verfuegbar ist. Wir freuen uns ueber jede Meldung — auch ueber kleine Funde.

Sicherheitsluecke melden

Fragen zu Sicherheit und Compliance?

Wir beraten Sie gern zu CRA, NIS2 und allgemeinen Security-Themen. Auch fuer eigene Compliance-Projekte.

Kontakt aufnehmen+49 7231 13334-0