Responsible Disclosure

Die Sicherheit unserer Plattform und der Daten unserer Nutzer hat höchste Priorität. Wenn Sie eine Sicherheitslücke in techlogia.de oder der Lab-Lernplattform entdecken, bitten wir Sie, uns verantwortungsvoll darüber zu informieren.

So melden Sie eine Sicherheitslücke

Bitte senden Sie Ihren Bericht an security@techlogia.de. Verschlüsselte Kommunikation per PGP ist möglich — kontaktieren Sie uns für den Public Key.

Was wir zusichern

• Antwort innerhalb von 48 Stunden — wir bestätigen den Eingang Ihres Berichts
• Keine rechtliche Verfolgung — solange Sie verantwortungsvoll handeln (kein Datendiebstahl, keine Veröffentlichung vor dem Fix)
• Transparente Kommunikation — wir halten Sie über den Fortschritt der Behebung auf dem Laufenden
• Anerkennung — mit Ihrer Zustimmung nennen wir Sie in unserer Hall of Fame

Regeln für verantwortungsvolle Offenlegung

• Greifen Sie nicht auf Daten anderer Nutzer zu und verändern oder löschen Sie keine Daten
• Führen Sie keine Denial-of-Service-Angriffe oder automatisierte Massenscans durch
• Veröffentlichen Sie die Schwachstelle nicht, bevor wir sie behoben haben (mindestens 90 Tage Frist)
• Social Engineering, Phishing oder physische Angriffe sind ausgeschlossen

Scope

Folgende Systeme sind im Scope:

• techlogia.de — Hauptwebsite und alle Subdomains
• Lab-Plattform — techlogia.de/lab/*
• API — techlogia.de/api/*

Sicherheitsmaßnahmen

Wir setzen umfangreiche technische Maßnahmen ein, um die Sicherheit unserer Plattform zu gewährleisten:

• TLS-Verschlüsselung (HTTPS mit HSTS)
• Content Security Policy (CSP) mit strict-dynamic
• Web Application Firewall (CrowdSec)
• Bcrypt-Passwort-Hashing
• Multi-Faktor-Authentifizierung für Admin-Zugänge
• Automatisierte, verschlüsselte Backups (restic)
• Hosting ausschließlich in deutschen Rechenzentren (Hetzner)

Diese Richtlinie orientiert sich an den Empfehlungen des BSI zur koordinierten Schwachstellenveröffentlichung (Coordinated Vulnerability Disclosure, CVD).