Stand: 10. März 2026

Unser Sicherheitsansatz

• Transportsicherheit: Auslieferung über HTTPS.
• Speicherschutz: sensible Inhalte werden verschlüsselt gespeichert; Schlüsselmaterial wird serverseitig über Umgebungsgeheimnisse verwaltet.
• Missbrauchsschutz: Proof-of-Work, Burst-Rate-Limits, Honeypot-Felder, Unicode-/Confusable-Härtung und regelbasierte Eingabeprüfungen.
• Integrität: signierte, kurzlebige Links für sensible Flows sowie HMAC-gesicherte Webhooks.
• Betriebshygiene: rotierende Logs, Health-Checks und gehärteter Admin-Zugang.
• Browser-Schutz: CSP, X-Frame-Options, Referrer-Policy, X-Content-Type-Options, Permissions-Policy.

Responsible-Disclosure-Regeln

Wir begrüßen Sicherheitsmeldungen in gutem Glauben. Ziel ist die koordinierte Behebung realer Schwachstellen ohne Gefährdung von Nutzern, Daten oder Verfügbarkeit.

Regeln für Tests

• Kein Zugriff auf fremde Daten. Verwenden Sie ausschließlich eigene Testadressen.
• Keine Betriebsstörung: kein DoS, kein Brute-Forcing, keine Spam-Lasttests.
• Keine Angriffe auf Drittanbieter-Infrastruktur (z. B. Mailprovider).
• Kein Social Engineering, Phishing oder physischer Angriff.
• Proof-of-Concepts minimal halten und keine schädlichen Inhalte versenden.
• Vor öffentlicher Offenlegung angemessene Frist zur Behebung einräumen.

In Scope

• Produktiv-Anwendung und dokumentierte Endpunkte auf dieser Domain, einschließlich Einreichung, DSGVO-Löschpfad, Missbrauchsmeldung, Bewerber-/Arbeitgeber-Dashboard, Widget-Start und Webhook-Prüfflüsse.
• Client-seitige Schwachstellen mit realer Auswirkung (z. B. XSS, CSRF, Clickjacking, sensible Leaks).
• Server-seitige Schwachstellen (Authentisierung, Autorisierung, Injection, Logikfehler, IDOR, SSRF, Path Traversal, Kryptofehler).

Out of Scope

• Volumetrische DoS-Demonstrationen.
• Verwendung geleakter/gestohlener Zugangsdaten.
• Hinweise ohne nachvollziehbare Auswirkung auf Vertraulichkeit, Integrität oder Verfügbarkeit.
• Findings, die auf kompromittierten Endgeräten/Browsern beruhen.

Meldung einreichen

E-Mail an E-Mail anzeigen mit Betreff „Sicherheitsmeldung“. Für sensible Details stellen wir auf Anfrage einen verschlüsselten Follow-up-Kanal bereit.

Bitte enthalten: reproduzierbare Schritte, betroffene Endpunkte, Ist-/Soll-Verhalten, Impact-Einschätzung und, falls vorhanden, einen PoC.

Bearbeitung und Fristen

• Eingangsbestätigung: innerhalb von 72 Stunden.
• Triage: initiale Bewertung innerhalb von 7 Werktagen.
• Behebung: abhängig von Schweregrad und Komplexität; kritische Fälle werden priorisiert.
• Bounties: derzeit kein Bug-Bounty-Programm.

Hinweise für Tests

• Nur eigene Absenderadressen sowie Empfängeradressen verwenden, die Ihnen gehören oder die für autorisierte Tests ausdrücklich allow-gelistet wurden. Keine Tests gegen fremde Arbeitgeber- oder Bewerberadressen.
• Signierte Links haben kurze Gültigkeit; Replay-Verhalten kann getestet werden.
• Webhook-Endpunkte erfordern Signaturen; nur mit eigenen Testdaten prüfen.
• Tests immer so durchführen, dass keine Nutzerdaten offengelegt oder verändert werden.

Vielen Dank für verantwortungsvolle Hinweise zur Sicherheit.