SICHERHEIT

Security-Disclosure

Wo Sie eine Schwachstelle melden, wie wir antworten, welche Regeln gelten — nach RFC 9116. Pre-Pilot-Status: keine 24h-Versprechen, aber jeder Report wird gelesen.

Maschinenlesbare Datei

Diese Seite ist die HTML-Erläuterung. Die maschinenlesbaren Felder nach RFC 9116 stehen in der Plain-Text-Datei unter /.well-known/security.txt.

Aktuelle Vorabversion:

Contact: mailto:[email protected]
Expires: 2027-05-27T00:00:00Z
Preferred-Languages: de
Canonical: https://adjudon.com/.well-known/security.txt
Policy: https://adjudon.com/security-txt

Die produktive Signatur via D-Trust QTSP folgt nach Vertragsabschluss; bis dahin gilt die Vorabversion. Englische Reports werden im Pre-Pilot-Stand mit Verzögerung beantwortet — Preferred-Languages: de ist deshalb deklariert.

Wie wir mit Reports umgehen

Adjudon arbeitet als Einzelunternehmen. Reaktionszeiten sind beste Bemühung, nicht garantierte SLA. Pre-Pilot-Realität, kein Marketing.

  • Bestätigung: typischerweise innerhalb 10 Werktagen nach Eingang.

  • Triage: je nach Komplexität — von 1 Tag (RCE in Production) bis 4 Wochen (komplexes Vendoring-Issue).

  • Fix-Cadence: richtet sich nach Severity. Kritische Findings werden priorisiert.

  • Public-Disclosure: nach 90 Tagen oder nach Patch-Release — was später eintritt. Vorzeitige Koordination möglich.

Wenn etwas länger dauert als hier beschrieben, schreiben wir Ihnen kurz und sagen warum.

Scope

Drei Kategorien — was wir bearbeiten, was wir versuchen, was außen vor bleibt.

IN-SCOPE

  • adjudon.com

  • api.adjudon.com

  • app.adjudon.com

  • tessera.adjudon.com

BEST-EFFORT

api-staging.adjudon.com — Reports werden gelesen und triagiert. Fixes folgen je nach Release-Zeitplan; kritische Findings priorisiert.

Legitime Load-Tests auf Staging mit vorheriger Mitteilung an [email protected] sind willkommen, nicht out-of-scope.

OUT-OF-SCOPE

  • Third-Party-Dependencies (Sicherheitsberichte für externe Pakete gehen direkt an den jeweiligen Vendor — wir koordinieren nicht für Drittanbieter)

  • Social-Engineering gegen Mitarbeiter (es gibt aktuell nur einen Founder)

  • Unangemeldete DDoS / Last-Spitzen-Tests auf Production

  • Spam, automatisierte Submissions ohne konkrete Risiko-Demonstration

  • Reports rein zu Volume-Metriken ohne Exploitation-Path

Kontakt

Reports gehen an [email protected]. Wer ein strukturiertes Formular bevorzugt: Sicherheits-Meldung — gleicher Empfänger, gleicher Trail.

Verschlüsselung

Ein PGP-Public-Key für [email protected] wird publiziert, sobald der D-Trust-QTSP-Vertrag aktiv ist (siehe Outreach-Roadmap). Bis dahin: Reports per Klartext-Email sind okay. Wer trotzdem verschlüsseln will, kann uns vorab kontaktieren — wir schicken ad-hoc einen Public Key zurück.

Safe-Harbor

Reports im guten Glauben sind willkommen. Solange Sie sich an Scope und Disclosure-Regeln halten, verfolgen wir keine rechtlichen Schritte gegen verantwortliche Sicherheitsforscher.

Wichtig: Diese Aussage ersetzt keine rechtliche Beratung im Einzelfall. Wenn unklar ist, ob eine Untersuchung legal ist (z.B. Stolpern über personenbezogene Daten), schreiben Sie uns vorab unter [email protected]. Wir antworten und klären den Rahmen — das ist meistens schneller als nachträgliches Aufräumen.

Bug-Bounty

Aktuell kein aktives Bug-Bounty-Programm. Adjudon ist Einzelunternehmen, Pre-Pilot — monetäre Prämien gibt es noch nicht.

Ein Programm ist in Vorbereitung ab dem Zeitpunkt, an dem mindestens drei Pilot-Kunden live sind. Aktualisierung dieser Section spätestens Q4 2026; genaues Datum hängt am Pilot-Stand, nicht am Kalender.

Anerkennung für Findings läuft jetzt (siehe unten). Monetäre Prämien folgen ab Pilot-Stand, frühestens Q4 2026.

Reporter-Anerkennung

Sicherheitsforscher, die substanzielle Findings melden, werden hier mit ihrer schriftlichen Permission anerkannt — unabhängig davon, ob ein Bug-Bounty-Programm läuft. Anerkennung ist kostenlos und kommt vor monetären Prämien.

Veröffentlicht wird nur, was der Forscher selbst angegeben hat: Name, Handle oder Organisation. Keine Inferenz über öffentliche Profile. Keine Backlinks ohne Permission. Wer anonym bleiben möchte, erscheint als „Anonymer Forscher" mit Finding-Datum.

Bisher keine veröffentlichten Anerkennungen. Erste Einträge erscheinen hier, sobald Reports eingehen und Veröffentlichung schriftlich genehmigt wurde.

Letzte Aktualisierung

Stand: . Halbjährlich aktualisiert. Sofort, wenn sich Scope, Policy oder Key ändert — gilt für Meta-Updates auf dieser Seite, nicht für Reaktionszeiten auf Reports (siehe oben).