Grundprinzip
Wir behandeln jeden Sicherheitsvorfall - vermutet oder bestätigt - mit struktureller Disziplin: kurzer Erstreaktions-Frist, klarer Eskalationskette, dokumentierter Aufarbeitung. Diese Seite beschreibt den Prozess, der für Kunden und Aufsichtsbehörden im Vorfeld nachvollziehbar sein soll.
Vorfallsmeldung
Wie Sie einen Vorfall melden
Wenn Sie einen Sicherheitsvorfall vermuten - egal ob in Ihrem Tenant, in der clarios-Anwendung oder in der Interaktion zwischen beiden - kontaktieren Sie uns über einen der folgenden Kanäle:
- E-Mail (bevorzugt): security@clarios.app - wird während der Geschäftszeiten innerhalb von 4 Stunden bearbeitet, außerhalb der Geschäftszeiten am nächsten Werktag.
- Telefon (für akute Fälle): +49 9181 5183585 - Geschäftszeiten Mo–Fr 8–18 Uhr CET. Für akute Vorfälle außerhalb der Geschäftszeiten nutzen Sie die Mail-Adresse.
- security.txt: Die maschinenlesbare Sicherheitsrichtlinie unter /.well-known/security.txt für Security-Researcher.
Was Sie mitschicken sollten
Hilfreich für eine schnelle Triage:
- Was ist passiert? Kurze Beschreibung der Beobachtung.
- Wann? Zeitstempel (so präzise wie möglich, idealerweise mit Zeitzone).
- Wo? clarios-Cockpit, eigener Tenant, beides - und welche Funktion / welcher Bereich.
- Wer? Betroffene User oder Systeme (sofern bekannt).
- Reproduzierbar? Lässt sich der Vorfall nachstellen, oder war es ein einmaliges Ereignis?
Sie müssen nicht alle Antworten haben - fehlende Informationen klären wir gemeinsam. Wichtig ist, dass Sie sich melden.
Unsere interne Reaktionskette
Phase 1 - Initial-Triage (innerhalb 4 Stunden während Geschäftszeiten)
- Vorfall wird im internen Incident-Tracking erfasst.
- Schweregrad-Klassifikation: kritisch, hoch, mittel, niedrig (anhand definierter Kriterien für Daten-Exposition, betroffene Tenants, Ausnutzbarkeit).
- Erstreaktions-Team wird eskaliert: bei kritischen Vorfällen sofort die Geschäftsführung und ein technischer Lead, bei niedrigeren Schweregraden über die normale Support-Routine.
Phase 2 - Eindämmung (innerhalb 24 Stunden bei kritischen/hohen Vorfällen)
- Sofortmaßnahmen zur Eindämmung (z.B. Sperre auf API-Ebene, Notabschaltung einer Komponente, temporäre Deaktivierung betroffener User-Accounts).
- Forensische Sicherung relevanter Logs und Datenbankstände.
- Erste interne Bewertung: handelt es sich um einen DSGVO-relevanten Datenschutzvorfall? Handelt es sich um einen NIS2-meldepflichtigen Vorfall?
Phase 3 - Information der Betroffenen
Wir informieren betroffene Kunden so früh wie möglich, spätestens jedoch:
- Bei DSGVO-relevanten Vorfällen mit hohem Risiko: binnen 72 Stunden nach Kenntnis, gemäß Art. 33 DSGVO. Die Information enthält Art des Vorfalls, betroffene Datenkategorien, voraussichtliche Folgen und ergriffene Maßnahmen.
- Bei NIS2-relevanten Vorfällen: Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht binnen einem Monat - entsprechend der NIS2-Meldekaskade nach § 32 NIS2UmsuCG.
- Bei Vorfällen ohne unmittelbares Daten-Risiko: binnen 5 Werktagen mit Sachbericht und ergriffenen Maßnahmen.
Phase 4 - Aufarbeitung und Lessons Learned
- Post-Mortem: Spätestens 14 Tage nach Eindämmung erstellen wir ein internes Post-Mortem mit Ursachenanalyse, Wirkungsanalyse und Verbesserungs-Maßnahmen.
- Kunden-Update: Auf Wunsch erhalten betroffene Kunden ein redaktionell aufbereitetes Post-Mortem, das die Ursache, den Verlauf, die Maßnahmen und die Vermeidungsstrategien beschreibt.
- Trust-Center-Update: Wesentliche Erkenntnisse aus dem Vorfall - etwa neue TOMs oder geänderte Prozesse - werden im Trust Center dokumentiert.
Eskalationsadressen
| Anlass | Kontakt |
|---|---|
| Vermuteter Sicherheitsvorfall | security@clarios.app |
| DSGVO-Anfrage / Betroffenenrechte | privacy@clarios.app |
| Schwachstellen-Meldung (Responsible Disclosure) | security@clarios.app - siehe security.txt |
| Eskalation an Geschäftsführung | geschaeftsfuehrung@clarios.app |
| Vertrags-/Auftragsverarbeitungs-Fragen | legal@clarios.app |
Responsible Disclosure
Wenn Sie eine Schwachstelle in der clarios-Anwendung entdeckt haben, freuen wir uns über eine vertrauliche Meldung an security@clarios.app. Wir verpflichten uns zu:
- Bestätigung des Eingangs binnen 2 Werktagen.
- Erster Bewertung binnen 5 Werktagen.
- Update zum Fortschritt mindestens alle 14 Tage bis zur Klärung.
- Keine rechtlichen Schritte gegen Security-Researcher, die sich an Responsible-Disclosure-Standards halten (Nutzung eigener Test-Tenants, keine Datenexfiltration, keine Beeinträchtigung anderer Kunden).
Wir haben aktuell kein formelles Bug-Bounty-Programm, aber bedanken uns für qualifizierte Meldungen mit einer angemessenen Anerkennung im Einzelfall.
Externe Aufsicht und Meldebehörden
Bei meldepflichtigen Vorfällen melden wir uns selbst an die zuständigen Behörden:
- Datenschutzaufsicht: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach.
- BSI als NIS2-Aufsicht: Bundesamt für Sicherheit in der Informationstechnik, meldestelle@bsi.bund.de, Meldung über das BSI-Portal.
Diese Meldungen erfolgen unabhängig von den Meldungen an Sie als Kunde, betreffen aber typischerweise denselben Vorfall. Wir koordinieren beide Wege, sodass Sie wissen, welche Informationen die Behörde hat.