Sicherheit & Vertrauen
Vulnerability Disclosure, PGP-Kontakt und Konformität nach EU Cyber Resilience Act (CRA).
1. Sicherheitslücken melden
Du hast eine Sicherheitslücke entdeckt? Wir freuen uns über eine vertrauliche Meldung. Bitte melde Probleme nicht öffentlich auf GitHub oder in sozialen Netzwerken — verwende stattdessen die folgenden Kanäle.
Vertrauliche Kontaktwege
- E-Mail:security@chorilo.com
- PGP-Schlüssel:/.well-known/pgp-key.txt
- security.txt nach RFC 9116:/.well-known/security.txt
2. Geltungsbereich
Im Geltungsbereich
- chorilo.com und alle produktiven Subdomains
- Chorilo Backend-API
- Chorilo Mobile App (iOS, Android)
- Chorilo Files Desktop-App (macOS, Windows)
- Authentifizierung, Autorisierung, Datenzugriff
Nicht im Geltungsbereich
- Reine Scanner-Reports ohne nachgewiesenen Impact
- Fehlende Security-Header ohne demonstrierbaren Angriff
- Phishing oder Social Engineering von Mitarbeitenden
- Drittanbieter-Dienste (Stripe, Sentry — bitte dort melden)
- Self-XSS, Angriffe auf Geräte des Reportenden
3. Safe-Harbor-Zusage
Wenn du im Rahmen einer gutgläubigen Sicherheitsforschung agierst, sehen wir von zivilrechtlichen oder strafrechtlichen Schritten ab — vorausgesetzt:
- Du vermeidest Datenschutzverletzungen, Datenverlust und Service-Ausfälle.
- Du nutzt nur eigene oder ausdrücklich erlaubte Test-Accounts.
- Du exfiltrierst nur das Minimum, das nötig ist, um das Problem zu demonstrieren.
- Du gibst uns angemessene Zeit zur Behebung vor jeder öffentlichen Offenlegung.
- Du nutzt die Schwachstelle nicht über das Minimum hinaus aus.
4. Reaktionszeiten
| Frist | Aktion |
|---|---|
| 3 Werktage | Empfangsbestätigung an den Reporter |
| 10 Werktage | Erste Einschätzung und Severity-Klassifizierung |
| 24 h | Early Warning an ENISA bei aktiver Ausnutzung (CRA Art. 14) |
| 72 h | Vulnerability Notification mit Mitigations-Plan |
| 14 d | Final Report mit Root Cause und Maßnahmen |
Bei aktiv ausgenutzten Schwachstellen gilt die EU-Cyber-Resilience-Act-Meldekette (24h / 72h / 14d). Betroffene Nutzer werden über In-App-Hinweise, E-Mail und die Status-Seite informiert.
5. PGP-Schlüssel
Für besonders sensible Reports kann der folgende PGP-Schlüssel genutzt werden. Der Schlüssel ist außerdem über die security.txt erreichbar.
Der Fingerprint sollte vor der ersten Nutzung mit einer zweiten Quelle verglichen werden — z. B. dem öffentlichen Eintrag auf keys.openpgp.org.
6. CRA-Konformität
Chorilo erfüllt die Anforderungen des EU Cyber Resilience Act (Verordnung 2024/2847):
- Vulnerability Disclosure Policy nach Art. 13 und 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) je Komponente.
- Technische Dokumentation nach Anhang VII, 10 Jahre aufbewahrt.
- Öffentliche Status-Seite und Vorfallhistorie unter /status
7. Hall of Fame
Eine Übersicht der Sicherheitsforscher:innen, die zur Sicherheit von Chorilo beigetragen haben, wird hier veröffentlicht, sobald die ersten Berichte abgeschlossen sind.