Schellerdamm 16, 21079 Hamburg
+49-40-30379590
info@gopas.de

Richtlinie Koordinierte Schwachstellenoffenlegung (CVD)

Koordinierte Schwachstellenoffenlegung (CVD)

1. Zweck

Diese Richtlinie regelt den Umgang mit extern gemeldeten Sicherheitslücken in IT-Systemen der GOPAS Solutions GmbH.
Ziel ist es, Schwachstellen strukturiert zu bearbeiten, Risiken zu minimieren und eine verantwortungsvolle Offenlegung sicherzustellen.

2. Geltungsbereich

Diese Regelung gilt für:

  • öffentlich erreichbare IT-Systeme

  • Webanwendungen

  • Cloud-Dienste

  • Produkte und Dienstleistungen des Unternehmens

3. Meldeweg für Sicherheitslücken

Sicherheitslücken können gemeldet werden an:

E-Mail: security@gopas.de

Der Eingang der Meldung wird innerhalb von 3 Werktagen bestätigt.

4. Grundsätze für Hinweisgeber

Das Unternehmen verpflichtet sich:

  • gutgläubige Sicherheitsforscher nicht rechtlich zu verfolgen,

  • sofern keine vorsätzliche Schädigung erfolgt,

  • keine Daten absichtlich verändert oder exfiltriert werden,

  • keine Systeme absichtlich beeinträchtigt werden,

  • die Schwachstelle vertraulich gemeldet wird.

Nicht erlaubt sind:

  • Denial-of-Service-Angriffe

  • Social Engineering gegen Mitarbeitende

  • physische Angriffe

  • Datenschutzverletzungen

5. Interner Bearbeitungsprozess

Nach Eingang einer Meldung erfolgt:

  1. Erstbewertung durch IT-Security (max. 5 Werktage)

  2. Einstufung der Kritikalität (z. B. hoch / mittel / niedrig)

  3. Entscheidung über Maßnahmen

  4. Behebung im regulären Change-Management

  5. Dokumentation im Ticketsystem

Bei kritischen Schwachstellen:

  • Priorisierte Behebung

  • Information an IT-Leitung

  • ggf. Einbindung Incident-Management

6. Koordinierte Veröffentlichung

Das Unternehmen strebt eine koordinierte Offenlegung an.

Grundsätze:

  • Veröffentlichung erst nach Behebung oder Mitigationsmaßnahme

  • Abstimmung mit dem Hinweisgeber

  • Zielzeitraum für Behebung: maximal 90 Tage (abhängig von Komplexität)

Bei sicherheitsrelevanten Auswirkungen auf Dritte kann eine Abstimmung mit zuständigen Behörden erfolgen, z. B. dem Bundesamt für Sicherheit in der Informationstechnik.

7. Dokumentation

Alle eingehenden Meldungen werden dokumentiert:

  • Eingangsdatum

  • Beschreibung

  • Bewertung

  • Maßnahmen

  • Abschlussdatum

Die Dokumentation ist Bestandteil des ISMS.

8. Verantwortlichkeiten

Rolle Aufgabe
Informationssicherheitsbeauftragter Bewertung & Koordination
IT-Leitung Priorisierung bei kritischen Fällen
Geschäftsleitung Information bei erheblichen Risiken

Schellerdamm 16, 21079 Hamburg

+49-40-30379590

info@gopas.de

©  2026 GOPAS Solutions GmbH

Impressum & Datenschutz

* Alle Preise gelten nur für Gewerbetreibende und verstehen sich deshalb netto zuzüglich ges. MwSt.