1. Startseite
  2. Vulnerability Disclosure Policy

Vulnerability Disclosure Policy

der
DSMK • Digital Solutions Marco Kriegner
Dr.-Scheiber-Strasse 51, 4870 Vöcklamarkt, Österreich


Zweck und Zielsetzung

Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der von DSMK betriebenen informationsverarbeitenden Systeme stellt ein wesentliches Unternehmensziel dar.
Diese Vulnerability Disclosure Policy, kurz "VDP", legt die Bedingungen fest, unter denen Sicherheitslücken in IT-Systemen von DSMK gemeldet werden können. Sie dient insbesondere der strukturierten Entgegennahme sicherheitsrelevanter Hinweise und der Erfüllung gesetzlicher und regulatorischer Anforderungen im Bereich der Informationssicherheit.


Anwendungsbereich

Diese Policy gilt für alle IT-Systeme, Anwendungen und digitalen Dienste, die von DSMK betrieben oder technisch verantwortet werden, einschliesslich Software-as-a-Service-Angeboten (SaaS), insbesondere:

  • Internetpräsenzen und Webanwendungen
  • Programmierschnittstellen (APIs)
  • Plattformen, Server, Backendsysteme, Administrationsoberflächen und Cloudsysteme, soweit diese durch DSMK administriert werden


Nicht vom Anwendungsbereich umfasst sind:

  • Systeme oder Dienste Dritter, auf die DSMK keinen unmittelbaren administrativen Zugriff hat
  • Social-Engineering-Angriffe (z. B. Phishing, Pretexting)
  • Denial-of-Service-Angriffe (DoS/DDoS)
  • Physische Angriffe auf Infrastruktur, Räumlichkeiten oder Personen
  • Schwachstellen in externen Diensten, Bibliotheken oder Infrastrukturen, die von DSMK lediglich genutzt oder eingebunden, aber nicht selbst betrieben werden

Zulässige Handlungen im Rahmen der Sicherheitsprüfung

Meldungen von Sicherheitslücken dürfen ausschliesslich unter Einhaltung der nachstehenden Grundsätze erfolgen:

  • Keine Beeinträchtigung der Verfügbarkeit von Systemen oder Diensten
  • Kein unautorisierter Zugriff auf personenbezogene oder sonstige vertrauliche Daten
  • Keine Veränderung, Löschung oder Manipulation von Daten
  • Keine automatisierten oder massenhaften Tests
  • Keine Weitergabe oder Veröffentlichung von Erkenntnissen ohne vorherige Zustimmung

Jegliche Handlungen, die über die zur Identifikation der Sicherheitslücke zwingend erforderlichen Massnahmen hinausgehen, sind unzulässig.

Meldung von Sicherheitslücken

Sicherheitsrelevante Hinweise sind unverzüglich und ausschliesslich über folgenden Kommunikationsweg zu übermitteln:
eMail: security@dsmk.at

Die Meldung sollte nach Möglichkeit folgende Informationen enthalten:

  • Beschreibung der identifizierten Schwachstelle
  • Betroffene Systeme, URLs oder Komponenten
  • Reproduzierbarkeit bzw. technische Details
  • Einschätzung des potenziellen Risikos

Die Angabe personenbezogener Daten ist nicht erforderlich und nicht erwünscht, sofern sie nicht zwingend notwendig ist.

Umgang mit Meldungen

Nach Eingang einer Meldung wird diese durch DSMK geprüft und intern bewertet. Ein Anspruch auf Rückmeldung, Statusinformationen oder Offenlegung getroffener Massnahmen besteht nicht. Die Behebung oder Risikominderung erfolgt nach Massgabe der internen Priorisierung und technischen Machbarkeit.


Keine Vergütung

DSMK betreibt kein Bug-Bounty-Programm. Für die Meldung von Sicherheitslücken besteht kein Anspruch auf Vergütung, Aufwandsersatz oder sonstige Leistungen, unabhängig von Art, Umfang oder Kritikalität der gemeldeten Schwachstelle.


Vertraulichkeit und Offenlegung

Gemeldete Sicherheitslücken sind vertraulich zu behandeln. Eine Veröffentlichung, Weitergabe an Dritte oder sonstige Offenlegung ist ohne vorherige schriftliche Zustimmung von DSMK unzulässig.


Haftungs- und Rechtshinweise

Sofern eine meldende Person:

  • ausschliesslich im Rahmen dieser Policy handelt,
  • keine vorsätzlichen oder grob fahrlässigen Handlungen setzt,
  • keine Daten exfiltriert, verändert oder veröffentlicht,
  • und keine Beeinträchtigung des laufenden Betriebs verursacht,
wird DSMK die Meldung nicht als Grundlage für zivil- oder strafrechtliche Schritte verwenden. Diese Zusicherung gilt ausschliesslich im Rahmen des zwingenden österreichischen und europäischen Rechts.

Datenschutz

Im Zusammenhang mit Sicherheitsmeldungen verarbeitete personenbezogene Daten werden ausschliesslich zum Zweck der Bearbeitung der Meldung verarbeitet (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse). Weitere Informationen sind unserer Datenschutzerklärung zu entnehmen.


Änderungsvorbehalt

DSMK behält sich das Recht vor, diese Vulnerability Disclosure Policy jederzeit anzupassen oder zu ersetzen. Es gilt die jeweils auf der Website veröffentlichte Fassung.


Kontakt

Bei Fragen zu dieser Policy oder zu anderen Themen erreichen Sie uns über die im Impressum angegebenen Kontaktdaten.


Datenstand: 17. Jänner 2026