Zum Hauptinhalt springen
← Zurück zur Startseite

Sicherheit

Responsible Disclosure Policy — Stand: März 2026

Sicherheitskontakt

security@fördernavi.de

PGP-Schlüssel auf Anfrage erhältlich. Erstantwort innerhalb von 24 Stunden.

Unser Engagement für Sicherheit

Die NextGen IT Solutions GmbH nimmt die Sicherheit ihrer Plattform und der Daten ihrer Nutzer sehr ernst. Wir arbeiten kontinuierlich daran, unsere Systeme sicher zu halten. Trotz aller Sorgfalt kann es vorkommen, dass Sicherheitslücken entdeckt werden.

Wenn Sie eine Sicherheitslücke in unserer Plattform entdeckt haben, bitten wir Sie, uns diese verantwortungsvoll zu melden (Responsible Disclosure), bevor Sie sie öffentlich bekannt machen. Wir werden Ihren Beitrag anerkennen und schnellstmöglich reagieren.

Geltungsbereich (Scope)

Unsere Responsible Disclosure Policy gilt für folgende Systeme und Dienste:

Im Scope

  • app.foerdernavi.nextgenitsolutions.de (Hauptplattform)
  • api.fördernavi.nextgenitsolutions.de (REST API)
  • Alle Subdomains unter nextgenitsolutions.de
  • Mobile-Responsivität der Webanwendung
  • OAuth 2.0 / SAML SSO Implementierung
  • API-Authentifizierung und -Autorisierung

Außerhalb des Scope

  • Denial-of-Service (DoS/DDoS) Angriffe
  • Social Engineering oder Phishing gegen unsere Mitarbeiter
  • Physischer Zugriff auf unsere Infrastruktur
  • Automatisiertes Scannen ohne vorherige Genehmigung
  • Drittanbieter-Dienste (Stripe, Sentry, BetterStack)
  • Berichte ohne reproduzierbare Schritte

Sicherheitslücke melden

Bitte senden Sie Ihren Bericht an security@fördernavi.de und fügen Sie folgende Informationen bei:

1.Art der Sicherheitslücke (z. B. XSS, SQL Injection, IDOR, CSRF)
2.Betroffene URL(s), Endpunkte oder Komponenten
3.Detaillierte Beschreibung der Schwachstelle
4.Schritt-für-Schritt-Anleitung zur Reproduktion
5.Mögliche Auswirkung und Schweregrad (nach Ihrer Einschätzung)
6.Screenshots, Videos oder Proof-of-Concept-Code (falls vorhanden)
7.Ihre Kontaktdaten (für Rückfragen und Anerkennung)

Reaktionszeiten und Zusagen

Wir verpflichten uns zu folgenden Reaktionszeiten:

Erstbestätigung: Innerhalb von 24 Stunden nach Eingang Ihrer Meldung
Erste Bewertung: Innerhalb von 5 Werktagen (Schweregrad und Reproduzierbarkeit)
Behebungsplan: Innerhalb von 7 Werktagen für kritische und hohe Schwachstellen
Behebung kritisch: Innerhalb von 7 Tagen für kritische Schwachstellen (CVSS ≥ 9.0)
Behebung hoch: Innerhalb von 30 Tagen für hohe Schwachstellen (CVSS 7.0–8.9)
Behebung mittel/niedrig: Innerhalb von 90 Tagen für mittlere und niedrige Schwachstellen
Benachrichtigung: Wir informieren Sie über die erfolgte Behebung

Safe Harbour / Keine rechtlichen Schritte

Wenn Sie unsere Responsible Disclosure Policy befolgen, sichern wir Ihnen zu:

  • Wir werden keine rechtlichen Schritte gegen Sie einleiten
  • Wir werden Sie nicht bei Strafverfolgungsbehörden anzeigen
  • Wir werden die Kommunikation mit Ihnen vertraulich behandeln
  • Wir werden Ihren Beitrag in unserem Security Hall of Fame würdigen (sofern gewünscht)

Voraussetzung ist, dass Sie keine Daten unbefugt kopieren, verändern oder löschen, keine Systeme beschädigen und keine Schwachstelle vor der Behebung öffentlich bekannt machen.

Bug Bounty

Wir belohnen verantwortungsvolle Meldungen nach Schweregrad:

Kritisch (CVSS ≥ 9.0)Bis zu EUR 500 + Hall of Fame
Hoch (CVSS 7.0–8.9)Bis zu EUR 200 + Hall of Fame
Mittel (CVSS 4.0–6.9)Hall of Fame Eintrag
Niedrig (CVSS < 4.0)Öffentliche Anerkennung

Auszahlungen erfolgen nach vollständiger Verifikation und Behebung der gemeldeten Schwachstelle. Duplicate-Meldungen werden nicht vergütet.

Unsere Sicherheitsmaßnahmen

FörderNavi implementiert folgende technische und organisatorische Sicherheitsmaßnahmen:

TLS 1.3 für alle Verbindungen (HTTPS)
Argon2id Passwort-Hashing
TOTP-basierte Zwei-Faktor-Authentifizierung
Row-Level Security (PostgreSQL RLS)
Redis-basiertes Rate Limiting (4 Stufen)
CSRF-Schutz auf allen Formularen
Content Security Policy (CSP) Header
HTTP Strict Transport Security (HSTS)
Sentry Echtzeit-Fehlerüberwachung
BetterStack Uptime-Monitoring
Tägliche verschlüsselte Backups
Datenhaltung in Deutschland (Hetzner)
Rollenbasiertes Zugriffsmanagement (RBAC)
Audit-Log aller administrativen Aktionen
Regelmäßige Penetrationstests
ISO 27001 Zertifizierung angestrebt (Q4 2026)

Compliance und Zertifizierungen

DSGVO / GDPRAktiv

Privacy by Design, Auftragsverarbeitungsverträge mit allen Dienstleistern, Datenschutzbeauftragter bestellt.

EU AI ActAktiv

Human-in-the-Loop für alle KI-generierten rechtlichen Aussagen, Erklärbarkeit der KI-Empfehlungen, Modell-Dokumentation.

ISO 27001:2022In Vorbereitung

ISMS im Aufbau. Angestrebte Zertifizierung durch akkreditierten Zertifizierer bis Q4 2026.

WCAG 2.1 AAAktiv

Alle UI-Komponenten werden mit axe-core in CI auf Barrierefreiheit geprüft.

DatenschutzerklärungImpressumAGBStartseite