Governance
- Version
- 2.0
- Inkrafttreten
- Zuletzt überprüft
- Nächste Überprüfung
- Verantwortlich
- Joel R. Klemmer
Abschnitt 1. Umfang und Plattformposition
Dies ist eine Informationsplattform. Sie verarbeitet keine Zahlungen, hostet keine Benutzerkonten und unterhält keine persistenten Benutzerdatenbanken über begrenzte betriebliche Bedürfnisse hinaus. Die Risikooberfläche ist bewusst durch Design begrenzt.
Sicherheitsverpflichtungen gelten für diese Website und ihre Hosting-Pipeline. Wir beanspruchen keine Absicherung von Daten, die vollständig von Diensten Dritter außerhalb unserer vertraglichen Erwartungen verarbeitet werden. An Drittdienste übermittelte Daten unterliegen deren unabhängigen Sicherheitskontrollen.
Abschnitt 2. Sichere Entwicklung und Bereitstellung
Sicherheitsüberlegungen sind in Entwicklungsdesign, Code-Review und Bereitstellungsworkflows integriert.
Alle Änderungen laufen durch Versionskontrolle. Kontinuierliche Integration erzwingt Formatierungsprüfungen, Abhängigkeitsaudits, Linting und Validierungsgates vor dem Build.
Soweit anwendbar, sind Produktions- und Entwicklungsumgebungen logisch getrennt. Zugang zu Bereitstellungssystemen ist durch rollenbasierte Zugriffskontrollen gemäß betrieblichen Anforderungen eingeschränkt.
Sicherheitsrelevante Ereignisse können gemäß betrieblichen Anforderungen protokolliert und geprüft werden.
Abschnitt 3. Infrastrukturkontrollen
Hosting-Umgebung
Die Website wird auf Infrastruktur gehostet, die TLS-Beendigung und verschlüsselten Transport bereitstellt. Infrastrukturresilienz und Backup-Prozeduren werden vom Hosting-Anbieter verwaltet.
Transportsicherheit
Der gesamte Verkehr wird per HTTPS verschlüsselt. Gemischte Inhalte werden nicht verwendet. HSTS ist in Produktion mit Preload aktiviert. TLS-Beendigung erfolgt am Edge.
HTTP-Sicherheitsheader
Die Website sendet Sicherheitsheader einschließlich Content Security Policy, X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin bei Cross-Origin sowie Permissions-Policy zur Einschränkung von Kamera, Mikrofon, Geolocation und verwandten Funktionen. Objekt- und Frame-Einbettung sind deaktiviert.
Abschnitt 4. Anwendungskontrollen
Input handling
Kontaktformulareingaben werden validiert. Es werden nur erforderliche Daten erhoben. Rate-Limiting wird gemäß Bereitstellungskonfiguration durchgesetzt.
Abhängigkeitsverwaltung
Paketabhängigkeiten werden über das Projekt-Abhängigkeitssystem verwaltet. Kontinuierliche Integration scannt auf kritische Schwachstellen. Identifizierte Probleme werden gemäß Schweregrad und Machbarkeit bewertet und behoben.
Inhaltsintegrität
Die Website ist überwiegend statisch. Dynamische Ausführung ist auf wesentliche Funktionalität beschränkt. Skript- und Stilquellen werden durch Content Security Policy eingeschränkt.
Abschnitt 5. Datenschutz
Datenerfassung ist minimal. Kontaktanfragen werden ausschließlich zur Kommunikation verarbeitet. Kein Weiterverkauf, keine Profilierung, keine persistente Benutzerkontenspeicherung.
Zusätzliche Informationen zu Datenpraktiken siehe Privacy page.
Abschnitt 7. Schwachstellenmanagement
Abhängigkeiten werden mit Standard-Paketverwaltungstools überwacht. Infrastruktur-Updates werden vom Hosting-Anbieter durchgeführt.
Wir können keine Zero-Day-Abdeckung garantieren. Sicherheitsprobleme werden bei Identifizierung bewertet und behoben.
Bei einem Sicherheitsvorfall mit personenbezogenen Daten unter unserer Kontrolle handeln wir gemäß geltenden rechtlichen Verpflichtungen.
Abschnitt 8. Verantwortungsvolle Offenlegung
Sicherheitsbedenken können über die Kontaktseite. Meldungen sollten eine klare Beschreibung des Problems, Reproduktionsschritte sowie die betroffene URL oder Komponente enthalten.
Fügen Sie keinen aktiven Exploit-Code in die erste Meldung ein.
Wir bemühen uns, Meldungen binnen angemessener Frist zu bestätigen. Es wird keine Bearbeitungszeitgarantie gegeben.
Abschnitt 9. Safe Harbor
Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die Schwachstellen in gutem Glauben melden, im in dieser Richtlinie beschriebenen Rahmen bleiben, den Zugriff auf oder die Änderung von Daten über das zur Darstellung des Problems erforderliche Maß hinaus vermeiden sowie Datenschutzbeeinträchtigungen oder Dienstunterbrechungen vermeiden.
Dieser Safe Harbor gilt nur für Tätigkeiten im in dieser Richtlinie beschriebenen Rahmen und ermächtigt nicht zu Handlungen, die gegen geltendes Recht oder Nutzungsbedingungen Dritter verstoßen.
Denial-of-Service-Tests, Social Engineering von Personal oder Tests von Diensten Dritter sind nicht gestattet.
Abschnitt 10. Einschränkungen
Kein System ist risikofrei. Diese Sicherheitsseite stellt keine Gewährleistung oder vertragliche Sicherheitsgarantie dar.
Aussagen in diesem Dokument spiegeln aktuelle Praktiken wider und können sich ohne Vorankündigung ändern.
Nutzer sind für die Aufrechterhaltung angemessener Sicherheitspraktiken auf eigenen Geräten und Netzwerken verantwortlich.
Abschnitt 11. Governance und Überprüfung
Die Sicherheitsposition wird regelmäßig überprüft. Wesentliche Änderungen werden im Governance-Abschnitt wiedergegeben.
Zuletzt aktualisiert: 2026-02-22