Sicherheit

Sicherheitsrichtlinie

So melden Sie Sicherheitslücken bei Entrello verantwortungsvoll

Zuletzt aktualisiert: April 2026

Unser Engagement

Bei Entrello nehmen wir die Sicherheit unserer Produkte und den Schutz der Daten unserer Nutzer:innen ernst. Wir begrüßen Meldungen von Sicherheitsforscher:innen und aus der Community, die uns helfen, Schwachstellen verantwortungsvoll zu identifizieren und zu beheben. Wenn Sie der Meinung sind, eine Sicherheitslücke in einem unserer Produkte gefunden zu haben, bitten wir Sie, uns so bald wie möglich zu informieren. Wir prüfen jede legitime Meldung und bemühen uns, das Problem zügig zu beheben.

Geltungsbereich

Folgende Systeme fallen in den Geltungsbereich dieser Richtlinie:

SystemBeschreibung
entrello.appWebanwendung
iOS-AppEntrello im Apple App Store
Android-AppEntrello bei Google Play
APIAlle Endpunkte unter entrello.app/api
Backend-InfrastrukturServer, Datenbanken und Cloud-Dienste, die von Entrello betrieben werden

Wir begrüßen Meldungen zu Schwachstellen, die eine konkrete Auswirkung auf die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Nutzerdaten zeigen. Beispiele sind Authentifizierungsumgehungen, Injection-Schwachstellen, unbefugter Datenzugriff und Privilegieneskalation. Ein funktionierender Proof of Concept ist erforderlich.

Nicht autorisierte Aktivitäten:

  • Tests an Drittanbieterdiensten und -werkzeugen, die wir nutzen, aber nicht kontrollieren
  • Angriffe, die physischen Zugang zu Geräten oder unseren Räumlichkeiten erfordern
  • Social Engineering gegen unsere Mitarbeiter:innen, Kund:innen oder Partner
  • Denial-of-Service-, Volumen- oder Lasttests jeglicher Art

Befunde, die in der Regel nicht qualifizieren:

  • Fehlende oder fehlkonfigurierte HTTP-Sicherheitsheader (CSP, HSTS, X-Frame-Options usw.) ohne nachgewiesenen Exploit
  • TLS- oder SSL-Konfigurationspräferenzen (Cipher Suites, Protokollversionen) ohne konkreten Angriff
  • SPF-, DKIM- oder DMARC-Befunde auf Domains, die keine E-Mails versenden
  • Generische Ausgaben automatisierter Scanner (Nuclei, Nessus, Burp, ZAP usw.) ohne funktionierenden Proof of Concept
  • Self-XSS oder XSS, das voraussetzt, dass das Opfer Payloads selbst in seine Browser-Konsole einfügt
  • Clickjacking auf Seiten ohne sicherheitsrelevante, zustandsändernde Aktionen
  • Open Redirects ohne weitergehende Sicherheitsauswirkung
  • Offenlegung von Softwareversionen, Banner Grabbing oder Fingerprinting
  • Fehlendes Rate Limiting auf Endpunkten, die keine Authentifizierung oder sensiblen Aktionen verarbeiten
  • Theoretische Schwachstellen ohne nachgewiesenen Exploit-Pfad

Meldungen, die ausschließlich aus Punkten der obigen Listen bestehen oder per Massenversand aus automatisierten Scannern stammen, können ohne inhaltliche Antwort geschlossen werden.

So melden Sie eine Schwachstelle

Bitte senden Sie Schwachstellenmeldungen per E-Mail an:

sec@entrello.io

Für vertrauliche Meldungen verschlüsseln Sie Ihre Nachricht bitte mit unserem PGP-Schlüssel: https://www.entrello.app/.well-known/pgp-key.txt

Ihre Meldung sollte folgende Angaben enthalten:

  • Eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkung
  • Schritt-für-Schritt-Anleitung zur Reproduktion
  • Relevante Screenshots, Logs oder Proof-of-Concept-Code
  • Das betroffene System und die URL bzw. der Endpunkt (sofern zutreffend)

Was Sie von uns erwarten können

MeilensteinZeitraum
Bestätigung Ihrer MeldungInnerhalb von 5 Werktagen
Bestätigung der GültigkeitInnerhalb von 14 Tagen
Statusupdate zur BehebungAlle 14 Tage
Behebung kritischer SchwachstellenSo zügig wie praktisch möglich
Behebung schwerwiegender SchwachstellenInnerhalb eines abgestimmten Zeitrahmens

Wir halten Sie während des gesamten Prozesses auf dem Laufenden und informieren Sie, sobald die Schwachstelle behoben wurde.

Safe Harbour

Entrello wird keine rechtlichen Schritte gegen Forschende einleiten, die:

  • in gutem Glauben handeln und sich an diese Richtlinie halten
  • den Zugriff auf, die Veränderung oder das Löschen von Daten, die ihnen nicht gehören, vermeiden
  • eine Schwachstelle nur insoweit ausnutzen, wie es zum Nachweis erforderlich ist
  • die Schwachstelle nicht öffentlich machen, bevor wir eine angemessene Gelegenheit zur Behebung hatten
  • unsere Dienste während der Tests nicht stören oder beeinträchtigen

Wir betrachten verantwortungsvolle Sicherheitsforschung im Rahmen dieser Richtlinie als autorisierte Aktivität und werden mit Forschenden zusammenarbeiten, statt gegen sie vorzugehen. Diese Autorisierung gilt nicht für Forschung, die geltendes Recht verletzt, Daten Dritter abruft oder verändert, den Dienst für andere beeinträchtigt oder Zahlungen im Gegenzug für Befunde fordert.

Koordinierte Offenlegung

Wir bitten Sie, uns vor einer öffentlichen Bekanntgabe ausreichend Zeit zur Behebung einer gemeldeten Schwachstelle einzuräumen. Wir stimmen den Zeitplan zur Offenlegung gemeinsam mit Ihnen ab, je nach Schweregrad und Komplexität der Behebung.

Sollten wir ein Problem nicht innerhalb von 90 Tagen beheben können, unterstützen wir Ihr Recht, Ihre Erkenntnisse zu veröffentlichen, und stimmen den Zeitpunkt mit Ihnen ab.

Anerkennung

Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm. Mit der Einreichung einer Meldung erklären Sie sich damit einverstanden, dass eine etwaige Belohnung in unserem Ermessen liegt, kein Anspruch auf Zahlung besteht und Sie auf zukünftige Vergütungsansprüche verzichten. Zahlungsforderungen im Gegenzug für Schwachstelleninformationen fallen nicht in den Geltungsbereich dieser Richtlinie und werden nicht bedient.

Forschende, die gültige, im Geltungsbereich liegende Schwachstellen melden, nennen wir auf Wunsch gerne öffentlich.

Kontakt

E-Mail: sec@entrello.io

PGP-Schlüssel: https://www.entrello.app/.well-known/pgp-key.txt

security.txt: https://www.entrello.app/.well-known/security.txt