Zum Inhalt springen
DeutschlandGPT

Security

Responsible Disclosure Policy

Stand: 9. Juli 2026

Die Sicherheit unserer Systeme und der Schutz der Daten unserer Kundinnen und Kunden haben für DeutschlandGPT höchste Priorität. Wir schätzen die Arbeit von Sicherheitsforscher:innen, die in gutem Glauben potenzielle Schwachstellen identifizieren und uns verantwortungsvoll melden.


Zweck dieser Policy

Diese Policy beschreibt, wie Sie potenzielle Sicherheitslücken in unseren Systemen an uns melden können, welche Regeln für Ihre Recherche gelten und welche Zusicherungen wir Ihnen im Gegenzug geben. Ziel ist eine zügige, koordinierte und vertrauliche Behebung der gemeldeten Schwachstelle — ohne Risiko für Nutzerinnen und Nutzer der DeutschlandGPT-Plattform.


Geltungsbereich

Im Scope

  • Die DeutschlandGPT-Plattform (dialog.deutschlandgpt.de)
  • Die Marketing-Website (www.deutschlandgpt.de)
  • Zugehörige, von DeutschlandGPT betriebene Subdomains und öffentliche API-Endpoints

Nicht im Scope

  • Systeme, Websites oder Anwendungen von Drittanbietern (auch wenn sie unter einer DeutschlandGPT-Domain erreichbar sind) — bitte melden Sie diese direkt beim jeweiligen Anbieter
  • Content-Themen, Prompt-Angriffe oder „Jailbreaks“ der verwendeten KI-Modelle (siehe separater Abschnitt unten)
  • Social Engineering, Phishing, physische Zutrittsversuche
  • Denial-of-Service- (DoS/DDoS) und Ressourcen-Erschöpfungs-Angriffe
  • Automatisiertes Scannen oder Fuzzing, das den Dienst beeinträchtigt
  • Rate-Limiting oder Brute-Force auf nicht authentifizierten Endpoints ohne funktionierenden Proof-of-Concept
  • Fehlende Security-Header, Best-Practice-Abweichungen in TLS-Konfigurationen ohne Proof-of-Concept, Cookie-Flags ohne konkreten Angriffsvektor
  • Öffentlich bekannte 0-Days ohne verfügbaren Patch bzw. mit Patch-Verfügbarkeit unter 30 Tagen

Modell-Sicherheit, Jailbreaks und Inhaltsfragen

Sicherheits- und Inhaltsprobleme rund um die von uns angebundenen KI-Modelle (z. B. Jailbreak-Prompts, unsichere Ausgaben, unerwünschte Inhalte) fallen nicht unter diese Responsible-Disclosure-Policy. Wir freuen uns dennoch über entsprechende Hinweise per E-Mail an security@deutschlandgpt.de mit ausreichend Kontext zur Reproduktion.


So melden Sie eine Schwachstelle

Bitte senden Sie Ihren Report vertraulich per E-Mail an:

security@deutschlandgpt.de

Für eine schnelle Bearbeitung geben Sie bitte folgende Informationen an:

  • Zusammenfassung und Art der Schwachstelle sowie deren Schweregrad (z. B. CVSS 3.1 oder low / medium / high / critical)
  • URL oder betroffener Bereich der Plattform
  • Detaillierte Schritte zur Reproduktion
  • Proof-of-Concept (Screenshots, Screencasts, Beispielcode oder cURL-Requests)
  • Potenzielle Auswirkungen
  • Empfohlene Gegenmaßnahmen, falls vorhanden
  • Etwaige Pläne oder Absichten zur öffentlichen Offenlegung

Bitte reichen Sie eine Schwachstelle pro Report ein. Je klarer und reproduzierbarer der Report, desto schneller können wir bewerten und beheben.


Regeln für Ihre Recherche

Wir gehen davon aus, dass Sie im guten Glauben handeln, wenn Sie sich an folgende Grundsätze halten:

  • Sie testen ausschließlich mit dem Ziel, potenzielle Schwachstellen zu identifizieren und uns zu melden.
  • Sie vermeiden jede Beeinträchtigung unserer Systeme oder des Nutzererlebnisses — keine Datenzerstörung, keine unberechtigten Zugriffe, keine DoS-Angriffe, keine Verletzung der Privatsphäre unserer Kundinnen und Kunden.
  • Sie beschränken die Ausnutzung einer Schwachstelle auf das für den Nachweis absolut notwendige Minimum.
  • Sie greifen nicht auf fremde Konten, Daten oder Kommunikationsinhalte zu. Sollte ein Zugriff versehentlich erfolgen, informieren Sie uns unverzüglich im Report.
  • Sie exfiltrieren, laden oder speichern keine Daten, die Sie im Rahmen Ihrer Forschung ggf. inzident einsehen.
  • Sie führen keine Social-Engineering-, Phishing- oder physischen Angriffe auf Mitarbeitende, Auftragnehmer oder Kundinnen und Kunden von DeutschlandGPT durch.
  • Sie machen die Schwachstelle nicht öffentlich, bevor wir diese in einem gemeinsam abgestimmten Zeitrahmen beheben konnten. Wir unterstützen Ihr Recht auf öffentliche Offenlegung — bitten aber um vorherige Koordination des Timings, um Schaden für Kundinnen und Kunden zu vermeiden.
  • Sie fordern keine Zahlung oder Gegenleistung als Bedingung für die Offenlegung und drohen nicht mit unverantwortlicher Veröffentlichung.
  • Sie halten sich an alle anwendbaren Gesetze in Deutschland und der EU.

Was Sie von uns erwarten können

  • Wir bestätigen den Eingang Ihres Reports innerhalb von drei Werktagen.
  • Wir bewerten Ihre Meldung zeitnah und geben mindestens alle 10 Werktage einen Fortschritts-Update, bis die Sache abgeschlossen ist.
  • Bei bestätigter Schwachstelle ergreifen wir angemessene Maßnahmen zur Behebung und stimmen mit Ihnen einen gemeinsamen Zeitrahmen für eine ggf. öffentliche Offenlegung ab.
  • Wir behandeln Ihren Namen und Ihre Kontaktdaten vertraulich und geben diese nicht ohne Ihre Zustimmung weiter, sofern wir nicht rechtlich dazu verpflichtet sind.
  • Auf Wunsch nennen wir Sie im Rahmen einer öffentlichen Bekanntmachung als Finder:in der Schwachstelle.

Anerkennung

Wir betreiben derzeit kein formales Bug-Bounty-Programm mit festen Auszahlungen. Bei hochwertigen und einzigartigen Reports zu Schwachstellen mit hohem Impact behalten wir uns jedoch ausdrücklich vor, Ausnahmen zu machen — etwa in Form einer freiwilligen Aufwandsentschädigung, öffentlicher Nennung (mit Ihrer Zustimmung) oder DeutschlandGPT-Swag. Duplikate oder bereits bekannte Schwachstellen sind hiervon ausgenommen; nur der erste valide Report wird anerkannt.


Safe Harbor

Wenn Sie sich nach bestem Ermessen an diese Policy halten und Ihre Forschung sowie Offenlegung in gutem Glauben durchführen, werden wir keine rechtlichen Schritte gegen Sie einleiten und Ihnen die Zusammenarbeit soweit möglich erleichtern. Voraussetzung ist, dass die Offenlegung bedingungslos erfolgt und keine Erpressungs- oder Nötigungselemente enthält. Rechtliche Verpflichtungen gegenüber Dritten oder Behörden bleiben davon unberührt.


Änderungen dieser Policy

Wir behalten uns vor, diese Policy jederzeit anzupassen. Die zum Zeitpunkt Ihrer Meldung gültige Fassung ist maßgeblich. Änderungen kommunizieren wir auf dieser Seite; wesentliche Änderungen werden zusätzlich am Anfang des Dokuments hervorgehoben.


Kontakt

Fragen zu dieser Policy oder zur Einordnung Ihrer geplanten Recherche bitte an security@deutschlandgpt.de. Vielen Dank, dass Sie dazu beitragen, DeutschlandGPT sicher zu halten.