Stand: 19.01.2026

Gültig für: 5FSoftware GmbH – 5F Cloud-Plattform (5f.5fsoftware.de)

Zweck
Die Sicherheit unserer Cloud-Plattform hat höchste Priorität. Wir begrüßen Hinweise auf Schwachstellen und möchten einen klaren, fairen Prozess für Meldung und Behebung bieten.

Kontakt
Bitte melden Sie Sicherheitslücken vertraulich an:

1. – E-Mail: sicherheit@5fsoftware.de

Bitte geben Sie in der Meldung nach Möglichkeit an:

• – betroffene URL/Komponente/Version
• – Schritt-für-Schritt-Beschreibung (PoC)
• – Einschätzung der Auswirkung (z. B. „Datenzugriff möglich?“)
• – Logs/Screenshots (möglichst ohne personenbezogene Daten)

Geltungsbereich

Diese Richtlinie gilt für:

• – unsere Cloud-Plattform (5f.5fsoftware.de), inkl. zugehöriger produktiver Subdomains
• – unsere offiziellen Apps (iOS und Android)
• – unsere Website (5fsoftware.de)

Nicht umfasst sind:

• – nicht produktive Umgebungen wie Entwicklungs-, Test- oder Staging-Systeme
• – Systeme, Dienste oder Accounts von Drittanbietern sowie externe Auftritte (z. B. Social Media)

Wenn Sie unsicher sind, ob etwas im Scope liegt: bitte kurz nachfragen, bevor Sie handeln.

Erlaubtes Vorgehen (Good Faith)

Erlaubt sind Hinweise und schonende Prüfungen in gutem Glauben – unter folgenden Bedingungen:

• – Sie sehen keine Daten Dritter ein und verändern keine Daten Dritter.
• – Sie beeinträchtigen den Betrieb nicht (keine Störung/Überlastung).
• – Sie führen nur minimalinvasive Tests durch (so wenig wie möglich, so viel wie nötig).
• – Sie melden die Schwachstelle zeitnah und vertraulich über den oben genannten Kanal.

Nicht erlaubte Aktivitäten

Unzulässig sind insbesondere:

• – Denial-of-Service (DoS/DDoS), Lasttests/Stress-Tests
• – Passwort-Raten, Credential-Stuffing oder automatisierte Massenversuche
• – Social Engineering, Phishing oder das Ausnutzen menschlicher Faktoren
• – das Auslesen, Verändern, Löschen oder Abziehen von Daten (insb. personenbezogene Daten)
• – das Installieren von Persistenz/Hintertüren oder das Beibehalten von Zugriffen
• – Tests außerhalb des definierten Geltungsbereichs (Scope)
• – die Veröffentlichung von Details, bevor wir die Chance zur Behebung hatten (siehe „Koordinierte Veröffentlichung“)

Wenn Sie unbeabsichtigt auf fremde Daten stoßen: bitte sofort stoppen und uns umgehend informieren.

Keine rechtlichen Schritte durch uns

Wenn Sie diese Richtlinie einhalten und in gutem Glauben handeln, wird die 5FSoftware GmbH

• – keine zivilrechtlichen Schritte gegen Sie einleiten und
• – keinen Strafantrag stellen, soweit dies für die Strafverfolgung erforderlich ist.

Diese Zusage gilt nicht, wenn:

• – Systeme absichtlich beeinträchtigt werden
• – Daten Dritter ausgelesen, verändert oder abgezogen werden
• – Erpressung/„Ransom“-Forderungen gestellt werden
• – oder Tests deutlich über das zur Verifikation Erforderliche hinausgehen

Hinweis: Diese Richtlinie kann behördliche Verfahren nicht ausschließen (z. B. bei besonderem öffentlichen Interesse); sie beschreibt unser Vorgehen als Anbieter.

Umgang mit Daten und Vertraulichkeit

Bitte vermeiden Sie die Erhebung personenbezogener Daten. Sofern zur Beurteilung technisch unvermeidbar, beschränken Sie sich auf das Minimum und übermitteln Sie uns keine sensiblen Inhalte. Wir behandeln Meldungen vertraulich und nutzen sie zur Analyse, Behebung und Prävention.

Reaktion und Koordinierte Veröffentlichung

– Wir bestätigen den Eingang Ihrer Meldung in der Regel innerhalb von 3 Werktagen.
– Wir informieren Sie über den Status, soweit möglich.
– Bitte veröffentlichen Sie Details erst nach unserer Rückmeldung und Behebung oder nach Abstimmung mit uns.
– Als Orientierung gilt eine Frist von 90 Tagen ab Eingang Ihrer Meldung; bei komplexen Fällen kann die Frist gemeinsam verlängert werden.

Bug Bounty

Derzeit bieten wir kein Bug-Bounty-Programm an. Unabhängig davon sind wir für verantwortungsvolle Meldungen dankbar.