Vulnerability Disclosure Policy

Stand: 13. Mai 2026

Einleitung

Workheld nimmt Informationssicherheit und Datenschutz ernst. Diese Vulnerability Disclosure Policy (VDP) beschreibt, wie Sicherheitsforscher, Auftraggeber, Endnutzer und Dritte uns auf Schwachstellen in unseren Produkten und Diensten aufmerksam machen können. Die VDP ist Teil unseres nach ISO/IEC 27001:2022 zertifizierten Informationssicherheits-Managementsystems (Zertifikatsnummer AT-IS-20260241).

Geltungsbereich

Diese Policy gilt für die folgenden Workheld-Komponenten:

  • Workheld Cloud-Plattform und sämtliche damit verbundenen Web-Anwendungen (workheld.com und Subdomains)
  • Workheld Flow Mobile-Anwendungen (iOS, Android)
  • Workheld Desktop-Anwendung
  • Workheld Sense einschließlich der Edge-Komponente Luna
  • Workheld AI-Funktionalität
  • Workheld öffentliche API-Endpoints

Nicht im Geltungsbereich dieser Policy sind:

  • Schwachstellen in Drittanbieter-Komponenten (siehe Sub-Auftragsverarbeiter-Liste in der AVV) — bitte direkt an den jeweiligen Anbieter melden
  • Denial-of-Service-Angriffe, Last-Tests, Stress-Tests
  • Social-Engineering-Angriffe gegen Workheld-Mitarbeiter oder Auftraggeber
  • Physische Angriffe gegen Workheld- oder Auftraggeber-Infrastruktur
  • Schwachstellen ohne nachweisbares Sicherheitsrisiko

Safe Harbor

Workheld verfolgt keine rechtlichen Schritte gegen Sicherheitsforscher, die nach Treu und Glauben (good faith) im Sinne dieser Policy handeln, soweit:

  • die Untersuchung sich auf das technisch erforderliche Maß beschränkt;
  • keine Daten Dritter eingesehen, exfiltriert, verändert oder gelöscht werden;
  • Schwachstellen nicht öffentlich gemacht werden, bevor Workheld eine angemessene Frist zur Behebung hatte (siehe „Coordinated Disclosure“);
  • geltendes Recht (insbesondere § 126c StGB, § 202c StGB) beachtet wird;
  • Workheld unverzüglich nach Auffinden der Schwachstelle informiert wird.

Diese Safe-Harbor-Zusage gilt nicht für Aktivitäten, die gegen Strafrecht oder gegen die Rechte Dritter verstoßen.

Meldung einer Schwachstelle

Bevorzugter Meldeweg: E-Mail an security@workheld.com. Alternativ hallo@workheld.com mit dem Betreff „Security“. Ein PGP-Schlüssel zur verschlüsselten Übermittlung ist auf Anfrage verfügbar.

Bitte mit der Meldung übermitteln: Beschreibung der Schwachstelle, Reproduktionsschritte, betroffene Komponente und Version (sofern bekannt) oder URL, Bewertung der potenziellen Auswirkung sowie Kontaktinformationen für Rückfragen.

Bearbeitungs-SLA

Workheld bestätigt den Eingang einer Meldung innerhalb eines Werktags und nimmt eine erste fachliche Bewertung innerhalb von fünf Werktagen vor. Die Behebungsstrategie richtet sich nach der Severity (CVSS v3.1):

  • Critical (CVSS 9.0–10.0): Hotfix-Bereitstellung in der Regel innerhalb von 7 Tagen; betroffene Auftraggeber werden gemäß Punkt 20 der Auftragsverarbeitungsvereinbarung informiert.
  • High (CVSS 7.0–8.9): Patch in der Regel innerhalb von 30 Tagen.
  • Medium (CVSS 4.0–6.9): Behebung im regulären Release-Zyklus.
  • Low (CVSS unter 4.0): Bewertung im Backlog, Behebung nach Priorität.

Coordinated Disclosure

Workheld bittet, Schwachstellen nicht öffentlich zu machen, bevor entweder eine abgestimmte Embargo-Frist verstrichen ist (Standard: 90 Tage ab Erstmeldung) oder die Schwachstelle behoben wurde — je nachdem, welcher Zeitpunkt früher liegt. Bei aktiv ausgenutzten Schwachstellen (Zero Day) kann diese Frist im beiderseitigen Einvernehmen verkürzt werden. Workheld kann die Frist im begründeten Einzelfall verlängern, etwa wenn eine sichere Behebung mehr Zeit erfordert; dies wird mit dem Melder abgestimmt.

Anerkennung

Workheld führt eine „Hall of Fame“ für Sicherheitsforscher, deren Meldungen zur Verbesserung beigetragen haben. Auf Wunsch des Melders wird der Eintrag pseudonymisiert oder weggelassen. Workheld zahlt derzeit keine Bug-Bounty-Prämien.

Rechtlicher Hinweis

Diese Vulnerability Disclosure Policy stellt kein bindendes Angebot dar und schafft keinen Vertrag zwischen Workheld und Sicherheitsforschern. Die Safe-Harbor-Zusage ist eine einseitige Erklärung der Workheld GmbH; ihre Reichweite bestimmt sich nach österreichischem Recht. Ausschließlicher Gerichtsstand ist Wien, Innere Stadt.

Diese Policy dient unter anderem der Erfüllung der Pflichten gemäß Art. 13 Verordnung (EU) 2024/2847 (Cyber Resilience Act).