Sicherheitsrichtlinie

Gültig ab: Januar 2026

Gray Matter nimmt Sicherheit ernst. Wir begrüssen die verantwortungsvolle Offenlegung von Sicherheitslücken durch Sicherheitsforscher und die breitere Community.

Geltungsbereich

Diese Richtlinie gilt für:

  • graymatter.ch und alle Subdomains
  • Alle von Gray Matter betriebenen Webanwendungen
  • Unsere öffentlich zugängliche Infrastruktur

Ausserhalb des Geltungsbereichs

Folgendes ist explizit ausgeschlossen:

  • Social-Engineering-Angriffe gegen Gray Matter-Mitarbeitende
  • Physische Sicherheitstests
  • Denial-of-Service-Angriffe (DoS/DDoS)
  • Drittanbieterdienste, die wir nutzen (melden Sie diese direkt an die jeweiligen Anbieter)
  • Schwachstellen, die physischen Zugang zu einem Gerät erfordern
  • Automatisierte Schwachstellen-Scans ohne vorherige Abstimmung

Wie Sie melden

Senden Sie Ihre Erkenntnisse an:

E-Mail: security@graymatter.ch

Bitte fügen Sie folgende Informationen bei:

  1. Beschreibung der Schwachstelle
  2. Schritte zur Reproduktion (detailliert, Schritt für Schritt)
  3. Einschätzung der möglichen Auswirkungen
  4. Proof of Concept (Screenshots, Logs oder Code)
  5. Ihre Kontaktdaten für Rückfragen

Verschlüsselung

Für sensible Berichte können Sie Ihre Nachricht mit unserem PGP-Schlüssel verschlüsseln (auf Anfrage erhältlich).

Was Sie erwarten können

ZeitrahmenMassnahme
48 StundenErste Bestätigung Ihres Berichts
7 TageVorläufige Bewertung und Schweregradklassifizierung
30 TageZiellösung für kritische/hohe Schweregrade
90 TageZiellösung für mittlere/niedrige Schweregrade

Wir halten Sie während des gesamten Prozesses auf dem Laufenden und benachrichtigen Sie, wenn das Problem behoben ist.

Safe Harbor

Wir unterstützen verantwortungsvolle Sicherheitsforschung. Wenn Sie in gutem Glauben handeln und diese Richtlinie befolgen:

  • Werden wir keine rechtlichen Schritte gegen Sie einleiten
  • Werden wir Ihre Aktivitäten nicht den Strafverfolgungsbehörden melden
  • Werden wir mit Ihnen zusammenarbeiten, um das Problem zu verstehen und zu beheben

Guter Glaube beinhaltet:

  • Vermeidung von Datenschutzverletzungen (greifen Sie nicht auf Daten anderer zu und ändern Sie diese nicht)
  • Vermeidung von Störungen unserer Dienste
  • Keine Ausnutzung von Schwachstellen über das hinaus, was zur Demonstration des Problems erforderlich ist
  • Prompte Meldung von Schwachstellen und keine öffentliche Bekanntgabe bis zur Behebung
  • Keine Nutzung von Schwachstellen für persönlichen Gewinn über die Anerkennung hinaus

Anerkennung

Wir bieten derzeit kein bezahltes Bug-Bounty-Programm an. Wir sind jedoch gerne bereit:

  • Ihren Beitrag öffentlich anzuerkennen (mit Ihrer Erlaubnis)
  • Auf Anfrage ein Referenzschreiben auszustellen
  • Sie zu unserer Seite für Sicherheitsanerkennungen hinzuzufügen (falls erstellt)

Rechtliches

Diese Richtlinie begründet keine rechtliche Verpflichtung seitens Gray Matter. Wir behalten uns das Recht vor, diese Richtlinie jederzeit zu ändern. Die Teilnahme an diesem Programm gewährt Ihnen keine Rechte über die hier ausdrücklich genannten hinaus.

Kontakt

Sicherheitsmeldungen: security@graymatter.ch

Allgemeine Anfragen: hello@graymatter.ch

Diese Richtlinie folgt branchenüblichen Best Practices für verantwortungsvolle Offenlegung von Schwachstellen, einschliesslich der Leitlinien von ISO 29147 und dem CERT Guide to Coordinated Vulnerability Disclosure.

Loslegen

Bereit, Ihre Architektur zu transformieren?

Ob Sie ein Zero Trust Assessment, eine AI Governance Architektur, Beratung zur Einführung von Agentic Coding oder Hilfe bei der richtigen Technologieauswahl brauchen - lassen Sie uns Ihre spezifische Situation besprechen. Direktes Gespräch mit dem Architekten, der die Arbeit macht.

Gespräch vereinbaren
00 +

Jahre Erfahrung

Von Assessment über Architektur bis zur Implementierung

0

Branchen

Logistik, Transport, Finanzwesen, Öffentlicher Sektor

000 %

Technologieberatung

Empfehlungen basierend auf architektonischer Passung, Integrationsbedarf und Ihrem Betriebsmodell.