Die Sicherheit unserer Systeme und der uns anvertrauten Daten hat für uns höchste Priorität. Trotz aller Sorgfalt lassen sich Schwachstellen nie vollständig ausschließen. Wenn Sie eine Sicherheitslücke in einem unserer Systeme entdecken, bitten wir Sie, uns diese verantwortungsvoll zu melden, bevor Sie sie veröffentlichen. Im Gegenzug behandeln wir Ihre Meldung vertraulich und gehen nicht rechtlich gegen Sicherheitsforscher vor, die in gutem Glauben nach dieser Richtlinie handeln.
Diese Richtlinie gilt für die von Reepa Solutions betriebenen, öffentlich erreichbaren Systeme:
• reepasolutions.de und alle Subdomains
• Das Kundenportal sowie zugehörige APIs
• Von uns veröffentlichte Software und Anwendungen
Bitte sehen Sie von folgenden Aktivitäten ab — sie sind ausdrücklich nicht von dieser Richtlinie gedeckt:
• Denial-of-Service (DoS/DDoS) oder andere Tests, die die Verfügbarkeit beeinträchtigen
• Social Engineering, Phishing gegen Mitarbeitende oder Kunden
• Physischer Zugang zu Geräten oder Räumlichkeiten
• Automatisiertes Massen-Scanning, das unsere Systeme spürbar belastet
• Schwachstellen in Diensten Dritter (bitte direkt beim jeweiligen Anbieter melden)
• Rein theoretische Befunde ohne nachweisbare Auswirkung (z. B. fehlende Header ohne konkreten Angriffsvektor)
Senden Sie Ihre Meldung an info@reepasolutions.de mit dem Betreff „Security Disclosure“. Maschinenlesbare Kontaktinformationen finden Sie zusätzlich in unserer security.txt (nach RFC 9116).
Eine hilfreiche Meldung enthält idealerweise:
• Eine Beschreibung der Schwachstelle und der betroffenen Komponente (URL/Endpunkt)
• Nachvollziehbare Schritte zur Reproduktion (Proof of Concept)
• Eine Einschätzung der möglichen Auswirkung
• Ihre Kontaktdaten für Rückfragen
Wenn Sie in gutem Glauben nach dieser Richtlinie handeln, sagen wir Ihnen zu:
• Wir bestätigen den Eingang Ihrer Meldung innerhalb von 3 Werktagen.
• Wir halten Sie über den Bearbeitungsstand und die Behebung auf dem Laufenden.
• Wir behandeln Ihre Meldung und Ihre Identität vertraulich und geben sie nicht ohne Ihre Zustimmung weiter.
• Wir leiten keine rechtlichen Schritte gegen Sie ein und stellen keine Anzeige, sofern Sie sich an die unten genannten Regeln halten.
• Geben Sie uns angemessene Zeit zur Behebung, bevor Sie Details veröffentlichen (Richtwert: 90 Tage).
• Greifen Sie nur auf so viele Daten zu, wie zum Nachweis der Schwachstelle nötig sind — und nicht mehr.
• Verändern, löschen oder veröffentlichen Sie keine fremden Daten und beeinträchtigen Sie den Betrieb nicht.
• Verletzen Sie keine Privatsphäre und verstoßen Sie nicht gegen geltendes Recht.
• Löschen Sie im Rahmen der Untersuchung erlangte Daten nach Abschluss der Meldung.
Reepa Solutions betreibt derzeit kein formelles Bug-Bounty-Programm mit Geldprämien. Wir danken jedoch ausdrücklich für jede verantwortungsvolle Meldung und nennen Sie auf Wunsch gerne in einer öffentlichen Danksagung.
Weitere Informationen zu unserem Umgang mit Daten und Sicherheit finden Sie in unserem Trust-Center.
Stand: Juni 2026