Security Policy
Vielen Dank, dass Sie zur Sicherheit von easyKonto beitragen. Diese Seite beschreibt, wie Sie eine Schwachstelle bei uns melden – und was Sie von uns erwarten dürfen.
Sicherheitsmeldungen
Wenn Sie eine Sicherheitslücke in einem unserer Produkte oder Dienste vermuten, freuen wir uns über eine verantwortungsvolle Meldung. Wir verfolgen einen Ansatz der Coordinated Vulnerability Disclosure (CVD) und erfüllen damit für das Produkt easyKonto Lokal die Anforderungen des EU Cyber Resilience Act (CRA) an eine zentrale Anlaufstelle für Schwachstellenmeldungen (Artikel 13 Absatz 17) sowie an ein Konzept zur koordinierten Offenlegung von Schwachstellen (Anhang I Teil II Nummer 5); für die übrigen im Geltungsbereich genannten Systeme gilt diese Security Policy freiwillig.
Kontakt für Sicherheitsmeldungen
Sensible Meldungen können Sie mit unserem PGP-Schlüsselverschlüsseln.
Maschinenlesbare Kontaktdaten finden Sie unter /.well-known/security.txtgemäß RFC 9116.
Ablauf
Meldung senden
Schreiben Sie an security@easykonto.de. Bitte beschreiben Sie die betroffene Komponente, eine reproduzierbare Schritt-für-Schritt-Anleitung sowie die aus Ihrer Sicht resultierende Auswirkung.
Eingangsbestätigung
Wir bestätigen den Eingang Ihrer Meldung innerhalb von fünf Werktagen und benennen einen festen Ansprechpartner für die weitere Kommunikation.
Analyse und Patch
Wir analysieren die Schwachstelle, halten Sie über den Fortschritt auf dem Laufenden und streben eine Behebung in der Regel innerhalb von 90 Tagen an. Bei aktiv ausgenutzten Schwachstellen handeln wir entsprechend schneller.
Koordinierte Veröffentlichung
Details zur Schwachstelle veröffentlichen wir erst nach Bereitstellung eines Patches – als Sicherheitshinweis in der Produktdokumentation unter doc.easykonto.de. Auf Wunsch nennen wir Sie in der Veröffentlichung.
Erwartungen
- Testen Sie ausschließlich gegen eigene Daten oder Test-Accounts.
- Verzichten Sie auf Denial-of-Service-Angriffe sowie auf Social Engineering gegen uns oder unsere Kunden.
- Geben Sie uns ausreichend Zeit für die Behebung, bevor Sie Details veröffentlichen.
easyKonto zahlt derzeit keine Prämien für Schwachstellenmeldungen (kein Bug-Bounty-Programm). Wir danken Ihnen aber ausdrücklich.
Geltungsbereich
Diese Security Policy gilt für die Marketing-Website, das Kundenportal mit Bestellstrecke und die Cloud-API zur Bankdatenprüfung. Sie gilt außerdem für die Java-Bibliothek easyKonto Lokal samt dem Maven-Repository, über das sie ausgeliefert wird.
Meldungen zu Schwachstellen in Drittanbieter-Komponenten, die wir einsetzen, leiten wir nach interner Prüfung an den jeweiligen Hersteller weiter.