Letzte Aktualisierung: 1. Juni 2025

Was ist das Bug Bounty Programm?

Das Nordantech Bug Bounty Programm bietet eine strukturierte Plattform für Entwickler und Sicherheitsforscher, um potenzielle Schwachstellen in unserem Code, unserer Infrastruktur oder unseren Anwendungen verantwortungsvoll zu melden. Wir schätzen verantwortungsbewusste Offenlegung und honorieren eingereichte Funde abhängig von deren Schweregrad und Ausnutzbarkeit. Ziel ist es, gemeinsam die Sicherheit unserer Systeme zu stärken – durch praxisnahe Prüfungen von Expertinnen und Experten, die wissen, wie Sicherheitslücken entstehen und wie sie verhindert werden können.

Welche Services umfasst das Programm?

Wir begrüßen Hinweise auf Sicherheitslücken, die in einem der folgenden Bereiche unserer Falcon-Plattform identifiziert wurden:

Im Geltungsbereich („In Scope“)

Die folgenden Systeme und Komponenten fallen unter den Geltungsbereich des Nordantech Bug Bounty Programms:

• Anwendung: https://app.nordantech.com
• Öffentliche API: https://api.nordan.tech
• Produktive Infrastruktur: Alle produktiven Systeme, die die Kerndienste der Plattform unterstützen
• Produktionsbezogene Subdomains: Alle Subdomains unter *.nordan.tech, sofern sie produktive Systemkomponenten betreffen

Nicht im Geltungsbereich („Out of Scope“)

Die folgenden Systeme und Komponenten sind vom Bug Bounty Programm ausgeschlossen. Sicherheitsuntersuchungen an diesen Systemen gelten als unautorisiert:

• Nordantech-Website: https://www.nordantech.com
• Nicht-Produktionsumgebungen: Stage-, Test-, Entwicklungs- oder Integrationssysteme
• Informations- und Weiterleitungsdomänen: Domains, die keine aktiven Anwendungsfunktionen bereitstellen (z. B. https://support.nordantech.com oder https://status.nordantech.com)

Bitte beachten Sie, dass digitale Dienste, die nicht in der obigen Liste aufgeführt sind, nicht Teil des Bug Bounty Programms sind. Gegebenenfalls kann eine IT-Sicherheitsuntersuchung solcher nicht genannter Dienste als rechtswidrig eingestuft und entsprechend geahndet werden.

Wie kann ich am Programm teilnehmen?

Um am Nordantech Bug Bounty Programm teilzunehmen, benötigen Sie eine Sandbox-Umgebung mit Zugang zu allen Falcon-Funktionen. Registrieren Sie sich ausschließlich über das Formular auf dieser Seite – nicht über die reguläre Testphase. Nur über diese Registrierung werden spezielle, kurzlebige Sandbox-Umgebungen erstellt, die alle Funktionen der Falcon-Plattform enthalten.

Nach der Registrierung erhalten Sie eine E-Mail mit einem Aktivierungslink. Sobald Sie Ihr Konto aktiviert haben, steht Ihnen Ihre Sandbox-Umgebung sofort zur Verfügung.

Wichtige Hinweise

• Jede Sandbox-Umgebung ist 3 Tage gültig und wird danach inklusive aller Daten automatisch gelöscht.
• Pro E-Mail-Adresse können beliebig viele Sandbox-Umgebungen erstellt werden.
• Ihr Benutzerkonto wird nach 7 Tagen Inaktivität automatisch gelöscht.
• Für Sandbox-Umgebungen wird kein Support angeboten.

Akzeptierte E-Mail-Adressen

• Geschäftliche E-Mail-Adressen mit eigener Unternehmens-Domain
• Für White-Hat-Pentesting vorgesehene Domains (z. B. wearehackerone.com)
• Eigene, verifizierbare Domains von Sicherheitsforschern oder -unternehmen

Nicht akzeptierte E-Mail-Adressen

• Kostenlose E-Mail-Anbieter (z. B. Gmail, Yahoo, Outlook.com, GMX, Web.de)
• Temporäre oder Wegwerf-E-Mail-Adressen

Falls Sie Schwierigkeiten bei der Registrierung haben, kontaktieren Sie uns bitte per Chat auf unserer Website oder per E-Mail an support@nordantech.com.

Welche Regeln gelten für das Programm?

Um ein sicheres, faires und produktives Umfeld für alle Beteiligten zu gewährleisten, bitten wir Sie, bei Ihrer Teilnahme am Nordantech Bug Bounty Programm die folgenden Verhaltensregeln und Rahmenbedingungen einzuhalten:

1. Respektieren Sie die Privatsphäre anderer
   Führen Sie keine Aktionen durch, die auf Daten zugreifen, sie verändern oder löschen, wenn diese nicht Ihnen gehören. Testen Sie ausschließlich mit Ihren eigenen Konten und Daten.

2. Vermeiden Sie Beeinträchtigungen des Dienstbetriebs
   Jegliche Aktivitäten, die die Verfügbarkeit, Integrität oder Stabilität der Falcon-Dienste beeinträchtigen könnten – z. B. Denial-of-Service-Angriffe (DoS), Flooding, Spam, Brute-Force oder andere Störungen – sind untersagt.

3. Verantwortungsvolle Offenlegung (Responsible Disclosure)
   Melden Sie entdeckte Schwachstellen vertraulich an uns und verzichten Sie auf eine öffentliche Bekanntmachung, bis wir Gelegenheit hatten, die gemeldeten Probleme zu beheben.

4. Kein Social Engineering
   Verzichten Sie auf jegliche Form von Social-Engineering-Angriffen, einschließlich Phishing, Pretexting oder ähnlichen Methoden gegenüber Mitarbeitenden, Nutzerinnen und Nutzern oder Systemen von Falcon.

5. Nutzen Sie ausschließlich legale und autorisierte Kanäle
   Beschränken Sie Ihre Aktivitäten ausschließlich auf die im Scope definierten Systeme. Jeglicher unautorisierter Zugriff auf andere Systeme oder Daten ist untersagt und kann rechtliche Konsequenzen nach sich ziehen.

6. Vollständige und nachvollziehbare Berichterstattung
   Ihre Meldung sollte klar strukturierte, reproduzierbare Schritte sowie alle relevanten technischen Details enthalten, um eine schnelle Validierung und Bearbeitung zu ermöglichen. Generische Bug-Reports ohne reproduzierbare Schritte, unklare Sicherheitslücken oder CVEs ohne Nachweis werden nicht belohnt.

7. Testen Sie nur innerhalb des definierten Geltungsbereichs
   Schwachstellen in Systemen außerhalb des festgelegten Scopes (z. B. www.nordantech.com, Staging-Umgebungen, Weiterleitungsdomänen) werden nicht belohnt und können zum Ausschluss vom Programm führen.

8. Keine physischen Angriffe oder Drohungen
   Physische Sicherheitsangriffe sowie jede Form von Bedrohung gegenüber Personen oder Einrichtungen sind strengstens untersagt.

9. Teilnahmeberechtigung
   Teilnehmende müssen im Land ihres Wohnsitzes volljährig sein, um am Bug Bounty Programm teilnehmen und Prämien erhalten zu dürfen.

Mit Ihrer Teilnahme am Nordantech Bug Bounty Programm verpflichten Sie sich, die oben genannten Regeln einzuhalten und in verantwortungsvoller Absicht zu handeln.
Wir behalten uns das Recht vor, Teilnehmer vom Programm auszuschließen oder Belohnungen zurückzuhalten, wenn gegen diese Richtlinien verstoßen wird.

Safe-Harbor-Klausel

Nordantech verpflichtet sich, keine rechtlichen Schritte gegen Sicherheitsforscherinnen und -forscher einzuleiten, die in gutem Glauben handeln und die Regeln dieses Programms einhalten. Wenn Sie eine Schwachstelle verantwortungsvoll und im Rahmen der oben beschriebenen Bedingungen melden, sehen wir von Maßnahmen nach dem Strafgesetzbuch (insbesondere § 202a StGB), dem Gesetz gegen den unlauteren Wettbewerb oder ähnlichen Rechtsvorschriften ab.

Diese Safe-Harbor-Regelung gilt ausschließlich für Aktivitäten, die:

• ausschließlich auf die im Scope definierten Systeme beschränkt sind,
• keine Daten Dritter gefährden, verändern oder entwenden,
• den Betrieb unserer Dienste nicht beeinträchtigen,
• unverzüglich und vertraulich an uns gemeldet werden.

Nordantech behält sich das Recht vor, diese Safe-Harbor-Regelung zu widerrufen, wenn die oben genannten Bedingungen nicht eingehalten werden.

Wie melde ich eine Sicherheitslücke?

Wenn Sie eine potenzielle Sicherheitslücke entdeckt haben, bedanken wir uns für Ihre verantwortungsbewusste Unterstützung bei der Meldung. Bitte folgen Sie für die Einreichung eines Berichts den untenstehenden Schritten:

Bericht vorbereiten

Wichtig: Testen Sie die Schwachstelle IMMER auf unseren Produktivsystemen (app.nordantech.com), bevor Sie einen Bericht einreichen. Generische oder theoretische Berichte werden nicht berücksichtigt.

Ihr Bericht sollte eine klare und detaillierte Beschreibung des Problems enthalten und idealerweise folgende Informationen umfassen:

• Betroffener Dienst oder Endpunkt (z. B. api.nordan.tech)
• Schritte zur Reproduktion der Schwachstelle
• Erwartetes versus tatsächliches Verhalten
• Relevante Belege wie Screenshots, Logdateien oder Proof-of-Concept-Code

Bericht einreichen

Senden Sie Ihren Bericht per E-Mail an: security@nordantech.com.

Wir empfehlen, sensible Informationen verschlüsselt (z. B. via PGP oder S/MIME) zu übermitteln.

Erreichbarkeit sicherstellen

Unser Sicherheitsteam wird sich gegebenenfalls mit Ihnen in Verbindung setzen, um Rückfragen zu klären. Bitte antworten Sie zeitnah, um die Analyse und Behebung zu beschleunigen.

Rückmeldung und Statusupdates

Nach Eingang Ihrer Meldung prüft unser Sicherheitsteam das Problem sorgfältig. Wir bemühen uns, alle gültigen Meldungen innerhalb von 72 Stunden zu bestätigen und Sie regelmäßig über den Status der Triage und Behebung zu informieren. Sie können innerhalb von 90 Tagen ein Update zu unseren Erkenntnissen und möglichen Prämien erwarten.

Vertraulichkeit wahren

Veröffentlichen Sie keine Details zur gemeldeten Schwachstelle, bevor wir die Behebung offiziell bestätigt haben. Meldungen, die vor diesem Zeitpunkt öffentlich gemacht werden, sind von einer Prämienzahlung ausgeschlossen.

Was passiert nach der Meldung?

Nach Eingang eines Schwachstellenberichts überprüft unser Sicherheitsteam die Gültigkeit, den potenziellen Schaden sowie den Schweregrad des Problems. Gut dokumentierte und reproduzierbare Berichte erhalten dabei Priorität.

Wir prüfen, ob die gemeldete Schwachstelle in den definierten Geltungsbereich fällt. Falls ja, erfolgt eine Einstufung und Bewertung anhand des Common Vulnerability Scoring System (CVSS) Version 4.0:

https://www.first.org/cvss/calculator/4-0

Unser Technikteam arbeitet zeitnah an der Behebung des Problems. Während des gesamten Prozesses bleiben wir im Austausch mit dem Meldenden, um weitere Details zu erfragen und über den aktuellen Stand zu informieren.

Nach erfolgreicher Behebung der Schwachstelle prüfen wir die Berechtigung einer Prämienzahlung gemäß den Kriterien unseres Programms und erkennen den Beitrag des Forschers entsprechend an.

Wichtiger Hinweis zu Einreichungen

Für eine Prämienberechtigung muss die gemeldete Schwachstelle folgende Kriterien erfüllen: Sie muss valide und reproduzierbar sein, in den definierten Scope fallen, direkt auf unseren Systemen getestet worden sein und darf nicht durch verbotene Methoden identifiziert worden sein.

NICHT akzeptiert werden:

• Generische Sicherheitsberichte ohne spezifischen Test auf unserer Plattform
• Theoretische Vulnerabilities aus CVE-Datenbanken oder Security-Tools
• Schwachstellen, die bei unserer Architektur technisch unmöglich sind
• Schwachstellen mit vernachlässigbarer praktischer Ausnutzbarkeit – z. B. theoretische Angriffe, die unter realen Bedingungen nicht durchführbar sind
• Automatisierte Scanner-Ausgaben ohne manuelle Verifikation
• Copy-Paste-Berichte aus allgemeinen Security-Ressourcen

Erforderlich für gültige Einreichungen:

• Reproduzierbare Schritte auf app.nordantech.com oder zugehörigen Systemen
• Konkreter Proof-of-Concept mit Screenshots/Videos von Falcon
• Nachweis, dass die Schwachstelle tatsächlich in unserer Implementierung existiert

Doppelte und bereits bekannte Meldungen

Eine Meldung wird nicht vergütet, wenn die gemeldete Schwachstelle:

• bereits von einem anderen Forscher gemeldet wurde – die Prämie geht an die Person, deren Bericht zuerst eingegangen ist,
• uns vor Eingang der Meldung bereits bekannt war – z. B. durch eigene Sicherheitsaudits oder andere interne Prozesse, oder
• sich bereits in Bearbeitung befindet – die Schwachstelle wurde bereits identifiziert und wird gerade behoben.

In allen drei Fällen informieren wir die Einreichenden über den Status ihrer Meldung und den Grund für die Ablehnung.

Auszahlung der Prämie

Prämien zahlen wir bevorzugt per Banküberweisung aus – wir stellen dafür eine Gutschrift als Abrechnungsbeleg aus. Dafür benötigen wir:

• Vollständiger Name und Anschrift
• IBAN
• Steuernummer oder Steuer-ID (sofern vorhanden)

Für kleinere Beträge ist auch eine Auszahlung per PayPal möglich – teilen Sie uns in diesem Fall Ihre PayPal-E-Mail-Adresse mit.

Hinweis: Bug-Bounty-Zahlungen gelten in Deutschland in der Regel als steuerpflichtiges Einkommen – bitte prüfen Sie das im Einzelfall.

Prämienübersicht

Kategorie	Niedriges Risiko	Mittleres Risiko	Hohes Risiko	Kritisches Risiko
CVSS-Score	0,1 – 3,9	4,0 – 6,9	7,0 – 8,9	9,0 – 10,0
Bounty	0 – 100 €	100 – 500 €	500 – 1.000 €	1.000 – 2.000 €

Die finale Prämienhöhe liegt im Ermessen von Nordantech und richtet sich nach Schweregrad, Qualität der Einreichung und tatsächlicher Ausnutzbarkeit der Schwachstelle.

Veröffentlichung von Schwachstellen

Meldungen, deren Details vor der offiziellen Bestätigung der Behebung durch uns öffentlich gemacht werden, sind von einer Prämienzahlung ausgeschlossen. Dies gilt unabhängig davon, wie viel Zeit seit der Meldung vergangen ist.