Zum Inhalt springen
Sicherheit

Sicherheitsrichtlinie

Verantwortungsvolle Offenlegung, Umgang mit Sicherheitslücken und unser Engagement für die Sicherheit Ihrer Daten.

Zuletzt aktualisiert: Mai 2026

01 Richtlinie zur verantwortungsvollen Offenlegung

InfoPeak schätzt die Sicherheitsforschungsgemeinschaft und begrüßt die verantwortungsvolle Offenlegung von Schwachstellen. Wenn Sie ein Sicherheitsproblem in einem InfoPeak-Dienst entdecken, ermutigen wir Sie, es uns zu melden.

Schwachstelle melden

security@infopeak.io

Für sensible Offenlegungen fordern Sie bitte unseren öffentlichen PGP-Schlüssel an.

02 Geltungsbereich

Die folgenden Dienste und Assets sind für die verantwortungsvolle Offenlegung im Geltungsbereich:

  • infopeak.io - Hauptanwendung und Website
  • auth.infopeak.io - Authentifizierungsdienst
  • InfoPeak Pass - Browsererweiterung
  • InfoPeak VPN - Mobile und Desktop-Anwendungen

03 Offenlegungsrichtlinien

Wir bitten Sicherheitsforscher, diese Richtlinien zu befolgen:

  • Geben Sie ausreichende Details an, um die Schwachstelle zu reproduzieren.
  • Greifen Sie nicht auf Daten anderer Benutzer zu, ändern oder löschen Sie diese nicht.
  • Führen Sie keine Denial-of-Service-Angriffe oder Social Engineering durch.
  • Geben Sie uns ausreichend Zeit (90 Tage), um das Problem zu beheben, bevor es öffentlich gemacht wird.

04 Reaktionszeitplan

72 Stunden

Wir bestätigen den Eingang Ihrer Meldung.

14 Tage

Wir liefern eine erste Bewertung und einen voraussichtlichen Lösungszeitplan.

90 Tage

Wir streben an, alle bestätigten Schwachstellen innerhalb dieses Zeitfensters zu beheben.

05 Safe Harbor

InfoPeak wird keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die Schwachstellen in gutem Glauben gemäß dieser Richtlinie entdecken und melden. Wir betrachten unter dieser Richtlinie durchgeführte Sicherheitsforschung als autorisiert und werden keine rechtlichen Ansprüche für das Umgehen technologischer Maßnahmen einleiten, sofern die Forschung in Übereinstimmung mit dieser Richtlinie durchgeführt wird.

06 Vorfallreaktion & Meldung von Datenschutzverletzungen

Im Falle eines Sicherheitsvorfalls oder einer Datenschutzverletzung befolgt InfoPeak diese Verfahren gemäß der NIS2-Richtlinie (EU) 2022/2555 und den DSGVO-Artikeln 33 und 34:

  • Innerhalb von 24 Stunden: Frühwarnung an das relevante nationale CSIRT (Computer Security Incident Response Team).
  • Innerhalb von 72 Stunden: Vollständige Vorfallmeldung an die Aufsichtsbehörde (DSGVO) und CSIRT (NIS2), einschließlich Umfangsbewertung und Abhilfemaßnahmen.
  • Ohne ungebührliche Verzögerung: Betroffene Benutzer werden per E-Mail mit klaren Informationen über die Art der Verletzung, betroffene Daten, getroffene Maßnahmen und empfohlene Aktionen benachrichtigt.
  • Innerhalb von 1 Monat: Ein abschließender Bericht wird den zuständigen Behörden mit Ursachenanalyse und Präventivmaßnahmen vorgelegt.

07 Sicherheitsarchitektur

InfoPeak setzt die folgenden Sicherheitsmaßnahmen als Teil unseres Engagements für den Cyber Resilience Act (CRA) ein:

  • Verschlüsselung im Ruhezustand: AES-256-CBC für alle gespeicherten Benutzerdaten.
  • Verschlüsselung bei der Übertragung: TLS 1.3 für alle Verbindungen.
  • Zero-Knowledge-Architektur: Persönliche Verschlüsselungsschlüssel werden clientseitig abgeleitet. InfoPeak kann nicht auf Ihre verschlüsselten Inhalte zugreifen.
  • Nur EU-Hosting: Gesamte Infrastruktur innerhalb der Europäischen Union.
  • Regelmäßige Sicherheitsupdates: Abhängigkeiten und Infrastruktur werden kontinuierlich überwacht und aktualisiert.