ClipCatalog logo ClipCatalog
DE

Sicherheit & Verantwortungsvolle Schwachstellenoffenlegung

Stand: 2026-05-28

Meldung einer Sicherheitslücke

Wenn Sie glauben, eine Sicherheitslücke in ClipCatalog — der Desktop-Anwendung, unseren Backend-Diensten unter *.clipcatalogpro.com oder unserer öffentlichen Website — gefunden zu haben, melden Sie diese bitte vertraulich an:

📧 security@clipcatalogpro.com

Wir nehmen alle Meldungen ernst. PGP-verschlüsselte Meldungen werden derzeit nicht unterstützt; wenn Sie einen sicheren Kanal für sensible Details benötigen, schreiben Sie uns bitte zuerst und wir richten einen ein.

Was Ihre Meldung enthalten sollte

  • Eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen
  • Eine Schritt-für-Schritt-Anleitung zur Reproduktion (oder ein funktionierender Proof-of-Concept)
  • Die betroffene ClipCatalog-Version (sichtbar unter Über → Version)
  • Relevante Logs, Screenshots oder Beispielartefakte
  • Ob Sie in der öffentlichen Sicherheitsmeldung namentlich genannt werden möchten, und in welcher Form (Name, Pseudonym, Link)

Was Sie von uns erwarten können

PhaseZielzeitraumWas passiert
Erstbestätigung Innerhalb von 5 Werktagen Wir bestätigen den Eingang Ihrer Meldung und vergeben eine Vorgangsnummer.
Triage-Entscheidung Innerhalb von 10 Werktagen Wir teilen Ihnen mit, ob wir die Meldung annehmen, unsere erste Einschätzung des Schweregrads sowie den geplanten Behebungsweg.
Fix ausgeliefert + öffentliche Sicherheitsmeldung Innerhalb von 90 Kalendertagen Ein behobenes Release wird veröffentlicht; eine Sicherheitsmeldung mit Beschreibung, Auswirkungen und Fix erscheint unter /security/advisories/.

Wir halten Sie während des gesamten Vorgangs auf dem Laufenden. Sollten wir feststellen, dass die Meldung kein unterstütztes Produkt betrifft oder außerhalb des Geltungsbereichs liegt, erläutern wir dies schriftlich.

Geltungsbereich

Im Geltungsbereich:

  • ClipCatalog-Desktop-Anwendung (alle derzeit unterstützten Versionen)
  • Backend-Dienste unter *.clipcatalogpro.com (Lizenzierung, Update-Endpunkt, Telemetrie)
  • Die öffentliche Website unter clipcatalogpro.com

Außerhalb des Geltungsbereichs — Folgendes wird NICHT angenommen:

  • Social Engineering gegenüber Mitarbeitenden, Kunden oder Auftragnehmern
  • Physische Angriffe auf Räumlichkeiten oder Hardware
  • Denial-of-Service-Angriffe (ob erfolgreich oder nicht)
  • Probleme in Drittanbieter-Diensten, die wir nutzen (Paddle, AWS, Cloudflare, Brevo usw.) — diese melden Sie bitte direkt beim jeweiligen Anbieter
  • Theoretische Schwachstellen ohne nachweisbaren Wirkungspfad
  • Meldungen, die ausschließlich aus automatisierten Scanner-Ausgaben bestehen, ohne manuelle Triage oder Ausnutzbarkeitsanalyse
  • Best-Practice-Empfehlungen (TLS-Konfiguration, fehlende Security-Header) ohne konkretes Angriffsszenario

Safe Harbour

Wir folgen den disclose.io Core Terms. Solange Ihre Sicherheitsforschung und Offenlegungstätigkeit in gutem Glauben und im Einklang mit dieser Richtlinie erfolgt, werden wir:

  • Ihre Aktivitäten als autorisiert betrachten
  • Keine rechtlichen Schritte gegen Sie einleiten oder empfehlen
  • Mit Ihnen zusammenarbeiten, um das Problem schnell zu verstehen und zu beheben

Solange Sie sich in gutem Glauben bemühen, dieser Richtlinie zu folgen, betrachten wir Ihre Forschung als autorisiert und werden weder zivil- noch strafrechtlich gegen Sie vorgehen noch Strafverfolgungsbehörden informieren.

Koordinierte Offenlegung

Wir veröffentlichen eine öffentliche Sicherheitsmeldung, sobald ein Fix ausgeliefert ist und Kundinnen und Kunden ausreichend Zeit hatten, das Update einzuspielen. Standardmäßig streben wir eine öffentliche Offenlegung 90 Kalendertage nach Ihrer Meldung an, oder früher, wenn ein Fix bereits vorher verfügbar ist. Wenn Sie eigenständig öffentlich offenlegen möchten, koordinieren Sie den Zeitpunkt bitte vorab mit uns, damit wir die Veröffentlichung mit dem Fix-Release synchronisieren können.

Öffentliche Sicherheitsmeldungen

Nach Behebung eines Problems wird die zugehörige öffentliche Meldung unter /security/advisories/<CVE-ID> auf dieser Site veröffentlicht, begleitet von einem maschinenlesbaren CSAF-2.x-Dokument für nachgelagerte Werkzeuge.

Software Bill of Materials (SBOM)

Für jede veröffentlichte Version von ClipCatalog stellen wir eine Software Bill of Materials im Format CycloneDX 1.6 bereit. Sie listet alle ausgelieferten Komponenten (Flutter- und Dart-Pakete, Python-Sidecar-Abhängigkeiten, mitgelieferte Binärdateien, KI-Modelle) mit Version, Lizenz und SHA-256-Prüfsumme pro Datei auf. Damit greifen wir der Software-Bill-of-Materials-Anforderung der EU-Cyberresilienzverordnung (Anhang I Teil II §1) vor, die für ab dem 11. Dezember 2027 in Verkehr gebrachte Produkte gilt; wir veröffentlichen sie bereits jetzt freiwillig. Das Verzeichnis, die versionsspezifischen Dateien sowie eine stabile latest.cdx.json-URL für automatisierte Werkzeuge finden Sie unter /security/sbom/ (englischsprachige Seite).

Maschinenlesbare Kontaktinformation

Diese Richtlinie ist zusätzlich in maschinenlesbarer Form unter /.well-known/security.txt gemäß RFC 9116 veröffentlicht.

Siehe auch

Produktinformationen — Herstellerangaben, Produktkennung, bestimmungsgemäße Verwendung, bekannte Cybersicherheitsrisiken, Ende des Supportzeitraums, Update-Verfügbarkeits-Zusage sowie Hinweise zur sicheren Außerbetriebnahme, in Anlehnung an die Informationsstruktur von Anhang II der EU-Cyberresilienzverordnung.

Hersteller: PAULUS DIGITAL SOLUTIONS LLC. Für allgemeinen Produkt-Support nutzen Sie bitte den In-App-Supportkanal oder support@clipcatalogpro.com.