Sicherheitsrichtlinie

Die Sicherheit der Daten unserer Community hat oberste Priorität. Diese Seite beschreibt, wie du eine Schwachstelle meldest und wie wir reagieren.

Aktualisiert am 17. Mai 2026

1. Schwachstelle melden

Wenn du eine Sicherheitslücke entdeckst, schreib uns an security@aukilo.com (oder an contact@aukilo.com mit „[SECURITY]" im Betreff).

Wir bestätigen den Eingang innerhalb von 72 Werkstunden und halten dich über den Fortschritt auf dem Laufenden.

Um die Triage zu beschleunigen, gib bitte nach Möglichkeit an:

  • eine klare Beschreibung der Schwachstelle und ihrer Auswirkungen;
  • die Schritte zur Reproduktion;
  • die App-Version oder die betroffene URL;
  • deinen Namen oder Pseudonym, falls du genannt werden möchtest.

2. Geltungsbereich

Diese Richtlinie deckt ab:

  • die Website und Subdomains von aukilo.com;
  • die mobile App Aukilo (iOS und Android);
  • die im offiziellen Projekt bereitgestellten Supabase Edge Functions.

3. Nicht im Geltungsbereich

Folgende Punkte sind nicht abgedeckt und nicht für eine verantwortliche Offenlegung geeignet:

  • Denial-of-Service-Angriffe (DOS / DDoS);
  • Phishing und Social Engineering gegen Team oder Nutzer;
  • massives Scraping oder Versuche, Quoten zu umgehen;
  • bereits bekannte oder in Bearbeitung befindliche Schwachstellen;
  • Drittanbieterdienste (Vercel, Supabase, Firebase, Google) — direkt beim Anbieter melden;
  • veraltete E-Mail-Adressen oder geparkte Domains.

4. Unsere Zusage

Wenn du die Regeln dieser Richtlinie befolgst:

  • verfolgen wir dich nicht rechtlich;
  • arbeiten wir mit dir an Bestätigung und Behebung;
  • danken wir dir öffentlich (mit deinem Einverständnis), sobald der Fix ausgerollt ist;
  • veröffentlichen wir bei Bedarf einen anonymen Post-Mortem.

Aukilo betreibt (noch) kein bezahltes Bug-Bounty-Programm. Die Anerkennung ist symbolisch.

5. Zu beachtende Regeln

Um von unserer Zusage zu profitieren, bitte:

  • greife nicht ohne Zustimmung auf Nutzerdaten zu und ändere sie nicht;
  • beeinträchtige nicht den Dienst und unterbrich seinen Betrieb nicht;
  • veröffentliche die Schwachstelle nicht, bevor wir sie behoben haben;
  • nutze die Schwachstelle nicht über ein minimales Proof of Concept hinaus.

6. Nutzerdaten

Aukilo verarbeitet personenbezogene Daten gemäß der DSGVO und unserer Datenschutzerklärung. Wenn eine Schwachstelle personenbezogene Daten offenlegt, wenden wir die gesetzlichen Meldepflichten an (CNIL, betroffene Nutzer).

7. Kontakt

Für Fragen zu dieser Richtlinie: security@aukilo.com.

PGP-Schlüssel auf Anfrage für sensible Meldungen verfügbar.