Choose a different country to see content for your location and shop online

Kostenloser Versand ab 50 € Direkt vom Hersteller Bis 15 Uhr bestellt – heute noch versendet! Kostenlose Retoure
Zur Startseite gehen
0,00 €*
Meldung von Sicherheitslücken

Paulmann-Richtlinie zur Offenlegung von Schwachstellen im smik System

Stand: 11. Juni 2025, Version 1.0 

Paulmann begrüßt Hinweise auf potenzielle Sicherheitslücken durch die Sicherheits-Community. Ihre verantwortungsvolle Offenlegung hilft uns, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor sie ausgenutzt werden können. So können wir unseren Reaktionsprozess bei Sicherheitsvorfällen einleiten und die Sicherheit unserer Kunden und Dienste schützen. Wir danken Ihnen für Ihren wertvollen Beitrag. 

Damit Ihr Bericht sicher und effizient bearbeitet werden kann, bitten wir Sie, beim Einreichen von Schwachstellenfunden die nachfolgend beschriebenen Schritte zu beachten. 

Meldeverfahren

1. Bitte senden Sie alle Hinweise an folgende E-Mail-Adresse: vulnerabilities@paulmann.de.

2. Bitte geben Sie ausreichende Kontaktdaten an, z. B. Ihren Namen und ggf. Ihre Organisation, damit wir bei Rückfragen auf Sie zukommen können.

3. Zur Nachvollziehbarkeit und Bewertung der gemeldeten Schwachstelle fügen Sie bitte eine technische Beschreibung bei, die mindestens Folgendes enthält:

  • Das getestete Produkt mit Produktname und Versionsnummer
  • Die technische Testumgebung, z. B. das Betriebssystem inkl. Version
  • Relevante Zusatzinformationen wie z. B. die Netzwerkkonfiguration

Bitte ergänzen Sie zudem nach Möglichkeit:

  • Angaben zu verwendeten Tools und Testmethoden
  • Verwendete Testkonfigurationen
  • Falls vorhanden: Proof-of-Concept-Code oder Exploit-Skripte

4. Wenn Sie zusätzlich

  • potenzielle Bedrohungen identifiziert,
  • eine Risiko- und Auswirkungsanalyse durchgeführt oder
  • eine aktive Ausnutzung beobachtet haben,

fügen Sie diese Informationen bitte dem Bericht bei.

5. Wenn Sie die Schwachstelle bereits mit Dritten geteilt haben, informieren Sie uns bitte und geben Sie ggf. Referenznummern oder Tracking-IDs an, damit wir das Thema koordinieren können.

Reaktionszeiten & Kommunikation

Paulmann strebt folgende Bearbeitungszeiten für eingereichte Berichte an:

  • Erste Rückmeldung (ab Eingang des Berichts): innerhalb von 3 Werktagen
  • Bewertung / Triage: innerhalb von 5 Werktagen
  • Status-Updates (bis zur Lösung, falls zutreffend): monatlich

Die Zeit zur Behebung bestätigter Schwachstellen hängt von deren Kritikalität ab. Im Sinne eines verantwortungsvollen Offenlegungsverfahrens bitten wir Sie, Zeitpunkte der öffentlichen Bekanntgabe mit uns abzustimmen. Dies dient dem Schutz der Öffentlichkeit, Privatsphäre und Sicherheit. Bitte informieren Sie uns im Vorfeld über geplante Veröffentlichungen.

Auf Wunsch nennt Paulmann den Einsender bzw. die Einsenderin eines bestätigten Schwachstellenberichts in den veröffentlichten Änderungshinweisen.

Wichtige Regeln

Einschränkungen bei Sicherheitstests   

  • Brechen Sie keine geltenden Gesetze oder Vorschriften.
  • Nutzen Sie keine entdeckten Schwachstellen aus.
  • Führen Sie keine Denial of Service (DoS) Angriffe durch.
  • Übermitteln, speichern oder verlinken Sie keine Schadsoftware.

Verhältnismäßiges und ethisches Verhalten   

Offenlegende müssen verantwortungsvoll handeln und jegliche unverhältnismäßigen oder schädlichen Handlungen vermeiden, einschließlich, aber nicht beschränkt auf:

  • Die Systeme oder Dienste der Organisation zu stören.
  • Die Anwendung, das Produkt oder den Dienst in irgendeiner Weise zu verändern.
  • Ein Backdoor in einer Anwendung, einem Produkt oder Dienst zu erstellen, selbst um die Verwundbarkeit zu demonstrieren, da dies zusätzliche Risiken mit sich bringt.
  • Eine Schwachstelle über das notwendige Maß hinaus auszunutzen, um ihre Existenz zu bestätigen.
  • Daten auf dem betroffenen System zu kopieren, zu verändern oder zu löschen. Stattdessen sollte eine Verzeichnisauflistung als Nachweis bereitgestellt werden.
  • Auf das System wiederholt zuzugreifen oder den Zugriff mit anderen zu teilen.
  • Brute-Force-Methoden zu verwenden (z. B. wiederholtes Raten von Passwörtern), um Zugriff zu erlangen.

Umgang mit sensiblen Daten   

  • Vermeiden Sie nach bestem Wissen den Zugriff auf oder das Löschen fremder Daten.
  • Teile keine sensiblen persönlichen Daten (z. B. Namen, E-Mails, Zugangsdaten) über Screenshots oder andere Anhänge mit uns.
  • Lösche alle während deiner Analyse erhaltenen Daten oder sensiblen Informationen dauerhaft, sobald der Bericht eingereicht wurde.

Rechtlicher Hinweis zur Informationsweitergabe

Wenn Sie Informationen an Paulmann übermitteln, erklären Sie sich damit einverstanden, dass diese als nicht proprietär und nicht vertraulich behandelt werden. Paulmann ist berechtigt, diese Informationen vollständig oder in Teilen frei zu verwenden, ohne Einschränkung und ohne Verpflichtung zur Zahlung oder Belohnung. Durch die Übermittlung erkennen Sie außerdem an, dass daraus keine Rechte für Sie entstehen und keine Verpflichtungen für Paulmann abgeleitet werden können.