meinGPT LogomeinGPT Docs
WebsitePlatform Login
PlattformKI Prompting GuideEntwicklerdokumentationEnterpriseDatenschutz & Sicherheit

Sicherheits-Übersicht

Zentrale Anlaufstelle für Sicherheitsmeldungen und Bug Bounty Programm

Detaillierte Sicherheitsdokumentation: Umfassende technische Details, Incident Response-Pläne und operative Verfahren sind nach Unterzeichnung einer NDA verfügbar.

Übersicht

Die Sicherheit unserer Plattform und der Schutz Deiner Daten haben für uns höchste Priorität. Diese Seite ist Deine zentrale Anlaufstelle für alle sicherheitsrelevanten Meldungen und Anfragen.

Sicherheitsbereiche

🏗️ Infrastruktur-Sicherheit

Cloud-native Zero Trust Architektur mit Enterprise-Grade Services:

  • Managed Kubernetes: Service Mesh mit mTLS End-to-End Verschlüsselung
  • Monitoring & Alerting: Umfassendes Monitoring mit automatischen Benachrichtigungen
  • Compliance: DSGVO-konform, ISO 27001 in Vorbereitung, SOC 2 Type II geplant für 2026

💻 Software-Sicherheit

Moderne typsichere Entwicklungsarchitektur mit Security by Design:

  • Secure Development: TypeScript Strict Mode, Python mit Typisierung, OWASP Top 10
  • Automated Security: AI-basierte Code-Analyse, automatische Dependency-Updates
  • External Testing: Bug Bounty Program, externer Penetrationstest geplant für August 2025

🔒 DataVault Datenschutz

OnPremise-Lösung für maximale Datensicherheit:

  • Lokale Datenhaltung: Alle Daten bleiben in Deiner Infrastruktur
  • Verschlüsselte Übertragung: Nur relevante Textabschnitte über VPN
  • DSGVO-Konformität: Vollständige Kontrolle über Deine Daten

🚨 Sicherheitslücke melden

Sofortige Meldung

Wenn Du eine Sicherheitslücke entdeckt hast:

📧 E-Mail: security@meingpt.com 📝 Betreff: URGENT - Critical Security Issue (für kritische Probleme)

Was Du angeben solltest

  • Detaillierte Beschreibung der Schwachstelle
  • Schritte zur Reproduktion des Problems
  • Potenzielle Auswirkungen und Risikobewertung
  • Screenshots oder Code-Beispiele (falls möglich)

⏱️ Unsere Reaktionszeiten

Wir haben ein strukturiertes Incident Response-System implementiert:

  • Kritische Schwachstellen: Sofortige Reaktion (0-15 Minuten)
  • Hohe Priorität: Reaktion innerhalb von 30 Minuten
  • Mittlere Priorität: Reaktion innerhalb von 2 Stunden

Detaillierte Incident Response-Verfahren: Spezifische Eskalationswege, Kommunikationspläne und operative Verfahren sind in unserem internen Incident Response-Plan dokumentiert und nach NDA-Unterzeichnung verfügbar.

💰 Bug Bounty Programm

Wir belohnen verantwortungsvolle Sicherheitsforscher für das Finden und Melden von Schwachstellen in unseren Systemen.

Belohnungen

Die Höhe der Belohnung richtet sich nach:

  • Schweregrad der Schwachstelle (Kritisch, Hoch, Mittel, Niedrig)
  • Qualität des Berichts (Reproduzierbarkeit, Dokumentation, Klarheit)
  • Potenzielle Auswirkungen auf Benutzer und Systeme
  • Erstmalige Meldung (nur der erste gültige Bericht wird belohnt)

Umfang

Im Umfang

  • Webanwendungen und APIs (app.meingpt.com)
  • Authentifizierungs- und Autorisierungsmechanismen
  • Datenlecks und Datenschutzverletzungen
  • SQL Injection, XSS, CSRF
  • Remote Code Execution-Schwachstellen
  • Authentifizierungs-Umgehung
  • Privilegien-Eskalation

Nicht im Umfang (Keine Belohnung)

  • Abgelaufene SSL/TLS-Zertifikate - Wir schätzen Benachrichtigungen, aber diese qualifizieren nicht für eine Belohnung
  • Fehlende Security-Header ohne nachweisbare Auswirkungen
  • Self-XSS mit erforderlicher Benutzerinteraktion
  • Social Engineering-Angriffe
  • DoS/DDoS-Angriffe
  • SPF/DMARC/DKIM-Probleme ohne nachweisbare Ausnutzbarkeit
  • Rate Limiting-Probleme ohne Sicherheitsauswirkungen
  • Schwachstellen in Drittanbieter-Software (direkt an den Hersteller melden)
  • Probleme in veralteten oder nicht mehr unterstützten Features
  • Paywall- und Feature-Gating-Probleme die nicht zu unerlaubtem Datenzugriff führen
  • Theoretische Schwachstellen ohne Proof of Concept
  • HackerOne Core Ineligible Findings

Teilnahme

Für Details zu unserem Bug Bounty Programm und den aktuellen Konditionen kontaktiere bitte: bounty@meingpt.com

Wir besprechen dann individuell:

  • Den Umfang der erlaubten Tests
  • Die Testmethoden
  • Die Berichterstattung
  • Den Verifizierungsprozess

Programmregeln

  1. Keine Zugriffe auf, Änderungen oder Löschungen von Benutzerdaten. Du kannst unsere Staging-Umgebung auf staging.meingpt.com verwenden, um sicherzustellen, dass Du nicht versehentlich auf echte Benutzerdaten zugreifst
  2. Vermeide Dienstunterbrechungen - keine DoS-Angriffe oder Ressourcenerschöpfung
  3. Eine Schwachstelle pro Bericht - separate Probleme erfordern separate Berichte
  4. Zeit für Patches einräumen - koordiniere den Offenlegungszeitplan mit unserem Team
  5. Alle geltenden Gesetze einhalten - unbefugter Zugriff ist verboten
  6. In gutem Glauben berichten - keine Erpressung oder Drohungen
  7. Nur Testkonten verwenden - nutze Konten, die Du kontrollierst

Disqualifikationen

Die folgenden Handlungen führen zu sofortiger Disqualifikation und möglichen rechtlichen Schritten:

  • Öffentliche Offenlegung vor Behebung
  • Versuchte Erpressung oder Nötigung
  • Tests auf Produktionssystemen ohne Autorisierung
  • Zugriff auf Kundendaten
  • Social Engineering von Mitarbeitern
  • Physische Sicherheitstests

Responsible Disclosure Policy

✅ Erlaubt

  • Koordinierte Offenlegung nach erfolgter Behebung
  • Anerkennung in unserer Security Hall of Fame
  • Rechtlicher Schutz für verantwortungsvolle Forscher
  • Konstruktive Zusammenarbeit mit unserem Security Team

❌ Nicht erlaubt

  • Zugriff auf Kundendaten ohne Erlaubnis
  • Denial of Service (DoS) Angriffe
  • Social Engineering von Mitarbeitern
  • Physische Angriffe auf unsere Infrastruktur

🏆 Security Champions

Hall of Fame

Wir danken allen Sicherheitsforschern, die zur Verbesserung unserer Plattform beigetragen haben. Mit ihrer Zustimmung werden wir ihre Namen hier veröffentlichen.

Details zu spezifischen Schwachstellen werden aus Sicherheitsgründen nicht öffentlich geteilt.

📞 Kontakt

Für verschiedene Anliegen

PGP-Verschlüsselung

Für besonders sensible Meldungen steht unser öffentlicher PGP-Schlüssel auf Anfrage zur Verfügung.

Weitere Informationen:

Datenschutzerklärung Webseite

Datenschutzerklärung für die meinGPT Webseite gemäß DSGVO

Infrastruktur-Sicherheit

Sicherheitsmaßnahmen in der meinGPT Infrastruktur und Operations

Auf dieser Seite

ÜbersichtSicherheitsbereiche🏗️ Infrastruktur-Sicherheit💻 Software-Sicherheit🔒 DataVault Datenschutz🚨 Sicherheitslücke meldenSofortige MeldungWas Du angeben solltest⏱️ Unsere Reaktionszeiten💰 Bug Bounty ProgrammBelohnungenUmfangIm UmfangNicht im Umfang (Keine Belohnung)TeilnahmeProgrammregelnDisqualifikationenResponsible Disclosure Policy✅ Erlaubt❌ Nicht erlaubt🏆 Security ChampionsHall of Fame📞 KontaktFür verschiedene AnliegenPGP-Verschlüsselung