Security

Letzte Überprüfung: Version 1.1 (31. Oktober 2025)
 

Einführung

Bei OMMAX setzen wir uns dafür ein, die Vertraulichkeit, Integrität und Verfügbarkeit unserer Informationssysteme sowie der Daten unserer Kundinnen und Kunden zu schützen.
Wir pflegen eine Kultur der kontinuierlichen Verbesserung, in der unsere Sicherheitskontrollen und unsere Incident-Response-Fähigkeiten regelmäßig von unserem Security Team überprüft und getestet werden, um ihre Wirksamkeit sicherzustellen.

Wir erkennen an, dass Sicherheitsforscherinnen und -forscher sowie die weitere Community eine wichtige Rolle bei der Identifizierung von Schwachstellen und der Stärkung unserer Systeme spielen.
Diese Richtlinie legt fest, wie potenzielle Schwachstellen verantwortungsvoll gemeldet werden können und wie OMMAX darauf reagiert.

Geltungsbereich

Im Geltungsbereich

  • Diese Richtlinie gilt für alle digitalen Vermögenswerte, die im Eigentum der OMMAX GmbH stehen, von ihr betrieben oder gepflegt werden, einschließlich, aber nicht beschränkt auf:
  • Websites und Subdomains unter *.ommax.com
  • Cloudbasierte Anwendungen, APIs und Kundenportale, die OMMAX gehören

Außerhalb des Geltungsbereichs

  • Systeme, Anwendungen oder Vermögenswerte, die nicht im Eigentum oder unter der Kontrolle von OMMAX stehen
  • Drittanbieterdienste (z. B. SaaS-, Hosting- oder Zahlungsanbieter), die in unsere Plattformen integriert sind
  • Denial-of-Service-Angriffe (DoS), Social Engineering oder physische Sicherheitstests
  • Wenn Sie Schwachstellen in Systemen von Drittanbietern entdecken, melden Sie diese bitte direkt an den jeweiligen Anbieter oder die zuständige Behörde.

Unsere Zusagen

Wir schätzen das Engagement von Personen, die ihre Zeit und Fachkenntnisse einsetzen, um unsere Systeme sicherer zu machen.
Wenn Sie eine Schwachstelle gemäß dieser Richtlinie melden, können Sie von OMMAX Folgendes erwarten:

  • Eingangsbestätigung Ihrer Meldung innerhalb von 5 Werktagen
  • Prüfung und Validierung des Berichts auf Grundlage von Schweregrad, Auswirkungen und Reproduzierbarkeit
  • Status-Updates mindestens alle 30 Tage, solange die Behebung andauert
  • Behebung bestätigter Schwachstellen so schnell wie möglich, in der Regel innerhalb von 90 Tagen bei kritischen oder schwerwiegenden Problemen
  • Safe-Harbor-Schutz für gutgläubige Sicherheitsforschung, die im Rahmen dieser Richtlinie erfolgt

Hinweis: OMMAX bietet derzeit keine finanziellen Belohnungen oder Bug-Bounty-Zahlungen an.

Ihre Pflichten

Wenn Sie in gutem Glauben an unserem Offenlegungsprogramm teilnehmen, bitten wir Sie:

  • Diese Richtlinie einzuhalten und alle relevanten Vereinbarungen zu respektieren
  • Nur Systeme im Geltungsbereich zu testen und keine Produktionsumgebungen zu beeinträchtigen
  • Keine Benutzerdaten zu öffnen, zu verändern oder zu löschen
  • Wenn Sie auf personenbezogene Daten (PII), Gesundheitsdaten (PHI) oder Finanzinformationen stoßen, beenden Sie die Tests sofort und melden Sie den Vorfall
  • Schwachstellen zeitnah an OMMAX zu melden und mindestens 90 Tage für die Behebung einzuräumen, bevor eine öffentliche Offenlegung erfolgt
  • Entdeckte Schwachstellen nicht für unbefugten Zugriff oder Erpressung zu verwenden
  • Den Proof of Concept auf das notwendige Minimum zu beschränken, um das Problem nachzuweisen
  • Nur Konten zu testen, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung haben
  • Auf übermäßige automatisierte Scans oder Handlungen zu verzichten, die die Systemleistung beeinträchtigen könnten

Meldung und Kommunikationswege

Bitte melden Sie potenzielle Schwachstellen an security@ommax.com.

Wenn Sie eine Meldung einreichen, geben Sie bitte folgende Informationen an:

  • Eine prägnante Beschreibung der Schwachstelle
  • Schritte zur Reproduktion (Proof of Concept, falls zutreffend)
  • Bewertung der Auswirkungen oder des potenziellen Risikos
  • Relevante Logdateien, Screenshots oder Beispielanfragen/-antworten

Safe Harbor

OMMAX unterstützt und fördert Sicherheitsforschung in gutem Glauben.
Aktivitäten, die im Rahmen dieser Richtlinie durchgeführt werden, gelten als autorisiert, und OMMAX wird keine rechtlichen Schritte einleiten oder unterstützen, wenn:

  • Die Tests im Einklang mit dieser Richtlinie und den geltenden Gesetzen durchgeführt werden;
  • Keine Daten absichtlich exfiltriert, verändert oder zerstört werden; und
  • Die Schwachstelle verantwortungsvoll und in gutem Glauben gemeldet wird.
  • Sollte ein rechtlicher Anspruch Dritter im Zusammenhang mit einer unter dieser Richtlinie durchgeführten Forschung entstehen, bestätigt OMMAX gegenüber dieser Partei, dass Ihr Handeln im Einklang mit dieser Richtlinie stand.
  • Wenn Sie unsicher sind, ob Ihre geplanten Tests zulässig sind, kontaktieren Sie bitte vorab security@ommax.com zur Klärung.

Instandhaltung

Diese Richtlinie wird mindestens einmal jährlich vom OMMAX Security Team und der Rechtsabteilung überprüft.
Wesentliche Änderungen (z. B. Anpassungen des Geltungsbereichs oder der Kontaktdaten) werden auf ommax.com/security veröffentlicht.

Rechtlicher Geltungsbereich

Diese Richtlinie und alle damit verbundenen Interaktionen unterliegen den Gesetzen der Bundesrepublik Deutschland sowie den geltenden Vorschriften der Europäischen Union (einschließlich DSGVO und NIS2-Richtlinie).

Kontakt für rechtliche und datenschutzbezogene Anfragen

Erik Gibson.png

Erik Gibson

Cybersecurity Manager
Zum Profil
Stephanie von Fedak

Stephanie von Fedak

Director Legal Counsel
Zum Profil