Wir melden erkannte Sicherheitsrisiken vertraulich, minimalinvasiv und koordiniert.
Unser Ziel ist es, betroffene Organisationen sicher zu informieren, Risiken zu reduzieren und eine geordnete Behebung zu ermöglichen.
Wir haben einen Hinweis auf eine mögliche Schwachstelle, Fehlkonfiguration oder ein öffentlich erreichbares Sicherheitsrisiko in einem System festgestellt, das Ihrer Organisation zugeordnet sein könnte.
Uns ist wichtig: Eine solche Meldung ist kein Angriff, keine Drohung und kein Versuch, Druck auszuüben. Wir wollen Ihnen ermöglichen, den Sachverhalt vertraulich zu prüfen, die Zuständigkeit intern zu klären und bei Bedarf geeignete Schutzmaßnahmen zu ergreifen.
Technische Details geben wir nur an verifizierte Ansprechpartner weiter, zum Beispiel an Security-, IT-, Datenschutz-, Geschäftsführungs- oder CERT-Kontakte.
Kontakt:
Sollten wir Sie initial kontaktiert haben oder möchten Sie uns einen Hinweis auf eine Schwachstelle zukommen lassen, nutzen Sie bitte ausschließlich diese E-Mail Adresse oder rufen Sie uns in dringenden Fällen an und nennen Sie uns einen zuständigen technischen oder organisatorischen Ansprechpartner.
- cvd@gescheit.it
- +49 151 59460668
Wir orientieren uns an den Prinzipien der Coordinated Vulnerability Disclosure und an einem möglichst schonenden Umgang mit betroffenen Systemen.
Keine Veröffentlichung
Wir veröffentlichen keine Details, die einen Rückschluss auf Sie zulassen, es sei denn der Sachverhalt wurde angemessen koordiniert und eine verantwortungsvolle Offenlegung wurde gegenseitig vereinbart.
So wenig Prüfung wie möglich
Wir beschränken uns auf die Informationen, die für eine erste fachliche Einordnung notwendig sind. Wir führen keine unnötigen oder störenden Tests durch.
Fokus auf Behebung
Ziel ist eine sichere, nachvollziehbare und pragmatische Lösung. Auf Wunsch unterstützen wir bei Verifikation, Risikobewertung, Remediation und Nachtest.
Keine fremden Daten
Wir laden keine personenbezogenen, geschäftskritischen oder vertraulichen Daten herunter, kopieren sie nicht und nutzen sie nicht weiter.
Keine Veränderung von Systemen
Wir löschen, verändern oder unterdrücken keine Daten und installieren keine Komponenten.
Keine Störung des Betriebs
Wir führen keine Denial-of-Service-Tests, keine massenhaften Zugriffsversuche und keine Tests durch, die den Betrieb Ihrer Systeme beeinträchtigen könnten.
Wir arbeiten nicht kommerziell
Diese Tätigkeit erfolgt ohne jegliche Vergütung oder wirtschaftliche Absicht – ausschließlich zum Schutz betroffener Nutzer, Daten & Systeme.
Damit alle Beteiligten sicher und nachvollziehbar handeln können, arbeiten wir nach einem strukturierten Ablauf:
Initiale vertrauliche Kontaktaufnahme
Wir informieren Sie zunächst nur grob über das betroffene Asset, die vermutete Risikoklasse und die Art des Hinweises. Kritische technische Details senden wir erst an einen verifizierten Ansprechpartner.
Verifikation der Zuständigkeit
Wir prüfen gemeinsam, ob Sie Betreiber, Dienstleister, Hersteller oder sonst zuständige Stelle sind. Falls erforderlich, kann eine Koordination über etablierte Stellen wie CERT-Bund oder das BSI sinnvoll sein.
Sichere Übermittlung technischer Details
Nach Bestätigung des zuständigen Kontakts übermitteln wir eine nachvollziehbare Beschreibung, betroffene Systeme, mögliche Auswirkungen und konkrete Hinweise zur Prüfung. Die Kommunikation erfolgt verschlüsselt.
Koordinierte Behebung
Wir geben Ihnen angemessen Zeit für Analyse, Priorisierung und Behebung. Der Zeitraum hängt von Kritikalität, Ausnutzbarkeit, Reichweite und organisatorischen Abhängigkeiten ab.
Nachtest und Abschluss
Ein technischer Nachtest erfolgt nur mit Zustimmung oder auf klar vereinbarter Grundlage. Danach schließen wir die Meldung ab oder stimmen eine verantwortungsvolle Veröffentlichung ab.
Wenn der Prozess nicht funktioniert
Sollte eine zuständige Stelle nicht erreichbar sein, die Zuständigkeit unklar bleiben oder ein erhebliches Risiko nicht angemessen adressiert werden, prüfen wir eine koordinierte Übergabe an geeignete Stellen. Dazu können je nach Sachverhalt insbesondere CERT-Bund beziehungsweise das Bundesamt für Sicherheit in der Informationstechnik, zuständige Branchen-CERTs, Hersteller, Hosting-Provider oder andere verantwortliche Koordinierungsstellen gehören.
Wenn Anhaltspunkte für eine Verletzung des Schutzes personenbezogener Daten bestehen, kann eine Einbindung der zuständigen Datenschutzaufsichtsbehörde erforderlich oder sinnvoll sein. Eine solche Eskalation erfolgt nicht vorschnell, sondern nach sorgfältiger Einordnung des Risikos, der Zuständigkeiten und der rechtlichen Rahmenbedingungen.
Der Umgang mit zufällig oder im Rahmen öffentlicher Beobachtung entdeckten Schwachstellen ist in Deutschland rechtlich sensibel. Schon gut gemeinte Prüfhandlungen können missverstanden werden oder rechtliche Fragen auslösen, insbesondere wenn unklar ist, ob eine Handlung noch reine Beobachtung oder bereits ein unbefugter Zugriff ist.
Deshalb ist unser Ansatz: keine unnötige technische Vertiefung ohne Abstimmung, keine Nutzung fremder Daten, keine Systemveränderung und keine Veröffentlichung ohne Koordination.
Für eine rechtssichere weitere Prüfung empfehlen wir eine ausdrückliche, schriftliche und klar eingegrenzte Beauftragung. Dadurch werden Zielsysteme, Testtiefe, Ansprechpartner, Zeitraum, Kommunikationswege und Grenzen der Prüfung für beide Seiten transparent dokumentiert.
Orientierung an etablierten Prozessen
Das Bundesamt für Sicherheit in der Informationstechnik beschreibt Verfahren zur koordinierten Schwachstellenmeldung und stellt eigene Meldewege für Sicherheitsforschende bereit. Unter Verwendung des BSI-Meldeformulars können Schwachstellen an CERT-Bund als nationales CERT im BSI gemeldet werden.
Teil des BSI-Netzwerks
gescheit.IT ist in der vom BSI organisierten Allianz für Cyber-Sicherheit vertreten. Die Allianz fördert Informationsaustausch, Sensibilisierung und Sicherheitskompetenz im Umgang mit Cyberrisiken.
Regulatorische Relevanz
Der Cyber Resilience Act stärkt Anforderungen an Produkte mit digitalen Elementen. Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden, die Produkte mit digitalen Elementen betreffen.
Auch wir nehmen Sicherheitsmeldungen ernst. Bitte senden Sie Hinweise vertraulich an folgende E-Mail Adresse oder kontaktieren Sie uns in dringenden Fällen telefonisch.
- cvd@gescheit.it
- +49 151 59460668
Bitte mitsenden
- betroffene Domain, IP, Anwendung oder Komponente
- kurze Beschreibung der Schwachstelle
- mögliche Auswirkung oder Bedrohungsszenario
- Reproduktionshinweise ohne sensible Daten
- Kontaktmöglichkeit für Rückfragen
Keine riskanten Nachweise
- keine personenbezogenen Daten mitsenden
- keine fremden Accounts übernehmen
- keine produktiven Daten verändern
- keine DoS- oder Lasttests durchführen
- keine öffentlichen Details vor Abstimmung veröffentlichen
Unser Umgang mit Meldungen
Wir bestätigen den Eingang, prüfen die Zuständigkeit, priorisieren den Sachverhalt und stimmen weitere Schritte mit Ihnen ab. Wenn Dritte betroffen sind, suchen wir eine angemessene koordinierte Lösung.