NEU: Antivirus AI Mac ist jetzt verfügbarJetzt entdecken →
Deutsch
English Español Français Italiano Português Русский العربية हिन्दी 日本語 简体中文
Shop
Für Dich
Deine Privatsphäre.
Ohne Kompromisse.
KI-Schutz in Echtzeit für Android, iPhone, Mac und Windows. Unabhängig zertifiziert und mehrfach ausgezeichnet.
Produkte entdecken
AndroidAndroid
Anti Spy newfree
Spyware erkennen & blockieren
Antivirus AI newfree
KI-Schutz in Echtzeit
Firewall AI free
Netzwerkzugriff steuern
Camera Guard free
Kamera live überwachen
Micro Guard free
Mikrofon vor Spionage schützen
iShredder newfree
Daten dauerhaft löschen
iOSiOS
iShredder iOS new
Fotos & Dateien sicher löschen
MacMac
Antivirus AI Mac free
Virenschutz für macOS
Camera Guard Mac
Kamera live überwachen
iShredder Mac
Zertifizierte Dateilöschung
iShredder iOS
Läuft auch auf Apple-Silicon-Macs
iLocker Mac
Apps verschlüsseln & sperren
WindowsWindows
iShredder Windows
Zertifizierte Datenlöschung
iShredder Server
Für Server & IT-Teams
iShredder Technical
23 zertifizierte Löschstandards
Deine Privatsphäre
Für Unternehmen
Sicherheit für
deine Organisation.
Zertifizierte Datenlöschung und Sicherheit für KMU, Behörden und Unternehmen – vollständig DSGVO-konform.
Business-Lösungen entdecken
Android & iOS
iShredder Business b2b
Mehrere Geräte sicher löschen
iShredder Enterprise
MDM-Integration & Zertifikate
Windows Server
iShredder Server b2b
Server & RAID-Arrays löschen
iShredder Technical
Bootfähig, 23 zertifizierte Standards
Für Verteidigung
Lösungen für Verteidigung
Lösungen für Verteidigung gov
Weltweit im Einsatz bei Behörden & Verteidigungsorganisationen
Deine Privatsphäre
Über Uns
Wir prägen Sicherheit
seit 2004.
Wir schützen die Privatsphäre von über 8 Millionen Menschen weltweit – unabhängig, transparent und ohne unnötige Datensammlung.
Unsere Geschichte
Unternehmen
Protectstar
Wer wir sind & was uns antreibt
Unsere Philosophie
Sicherheit als Menschenrecht
Warum Protectstar
Zertifiziert & ausgezeichnet
Deine Privatsphäre
So schützen wir deine Daten
Umwelt
Unser Beitrag für den Planeten
Team & Presse
Unser Team
Die Menschen hinter Protectstar
Botschaft des Gründers
Vision & Mission aus erster Hand
Pressezentrum
Medien, Logos & Presse-Kit
Technologie
Künstliche Intelligenz
Künstliche Intelligenz
Geräteinterne KI erkennt neue Bedrohungen live
iShredding
iShredding
23 zertifizierte Löschstandards
Für Dich
Für Unternehmen
Über Uns
FAQ & HilfeBlog
Sprache / Region
Shop
Vulnerability Disclosure Program

Findest du eine Lücke?
Sag es uns zuerst.

Wir prüfen jeden ernsthaften Report. Hall of Fame zuerst, im Einzelfall ein freiwilliger Anerkennungsbetrag.

PGP-Schlüssel anzeigen
Unsere Haltung

Sicherheit ist Teamarbeit.

Sicherheitsforscher sind keine Gegner. Sie sind oft die ersten, die echte Schwachstellen sehen. Wir behandeln dich entsprechend: ehrliche Antworten, klare Bedingungen, faire Würdigung. Dies ist ein Vulnerability Disclosure Program mit möglicher Hall-of-Fame-Anerkennung und optionalen kleineren Anerkennungsbeträgen nach Einzelfallprüfung. Es ist kein klassisches Bug-Bounty-Programm mit festen oder garantierten Auszahlungen.

Apple nennt unseren Gründer Chris Bohn namentlich in einem offiziellen Security Update für eine gemeldete Kernel-Sicherheitslücke in OS X (CVE-2013-1029). Wir wissen aus erster Hand, wie viel Arbeit ein guter Report bedeutet und wie wichtig faire Behandlung dabei ist. Quelle: support.apple.com/en-us/103517
So funktioniert es

In drei Schritten zum Fix.

Keine Bürokratie. Keine Formulare. Kein versteckter Prozess.

Schritt 01

Melden

E-Mail an . Beschreibe Asset, Reproduktionsschritte und realistischen Impact. Je präziser, desto schneller können wir prüfen.

Schritt 02

Triage

Wir prüfen ernsthafte Reports und melden uns in der Regel innerhalb weniger Werktage. Bei Verzögerungen halten wir dich auf dem Laufenden.

Schritt 03

Fix & Würdigung

Fix nach Severity. Berechtigte, validierte Findings können wir in unserer Hall of Fame würdigen. Bei geeigneten Produkt-Schwachstellen prüfen wir eine CVE-Koordination.

RFC 9116

security.txt

Du arbeitest mit einem Scanner oder kennst /.well-known/security.txt? Dann hast du uns sofort gefunden. 


# https://www.protectstar.com/.well-known/security.txt

Contact: mailto:security@protectstar.com
Encryption: https://www.protectstar.com/security/pgp.asc
Policy: https://www.protectstar.com/security
Acknowledgments: https://www.protectstar.com/security/acknowledgments
Preferred-Languages: en, de
Canonical: https://www.protectstar.com/.well-known/security.txt
Canonical: https://protectstar.com/.well-known/security.txt
Expires: 2027-05-19T23:59:59Z
Live-Datei öffnen · Format nach RFC 9116
Scope

Was im Programm ist.

Wir starten bewusst eng, damit unser Team jeden Report ernsthaft bearbeiten kann. Reports zu Apps und APIs sind willkommen, werden aber im Einzelfall geprüft.

In Scope

  • www.protectstar.com & protectstar.com Öffentliche, von Protectstar selbst betriebene Website-Bereiche
  • Öffentlich dokumentierte Update- & Download-Integritätsmechanismen Signaturen, Hashes auf Protectstar-Infrastruktur
  • Veröffentlichte File-Integrity-Metadaten Auf protectstar.com publiziert
  • Weitere Subdomains Nur soweit ausdrücklich gelistet oder schriftlich von uns bestätigt

Out of Scope

  • Drittanbieter-Systeme & -Dienste Shop-/Zahlungsanbieter, App Stores, CDN/Hosting, externe Engines, SDKs und Partnerdienste
  • Nicht ausdrücklich bestätigte APIs, Lizenz-/Aktivierungsserver und interne Systeme
  • Social Engineering & Phishing Gegen Mitarbeiter, Support oder Partner
  • DoS / DDoS / Volumen-Tests
  • Physische Angriffe
  • Self-XSS, fehlende Best-Practice-Header ohne Impact
  • Beta- / TestFlight- / Vorabversionen
Apps, Backend-APIs, Desktop-Software: Reports sind willkommen, aber nicht automatisch in Scope oder würdigungsfähig. Wir prüfen jeden Report im Einzelfall.
Safe Harbor

Forsche in gutem Glauben. Wir behandeln dich fair.

Wenn du Sicherheitsforschung in gutem Glauben, innerhalb dieser Richtlinie und ausschließlich an ausdrücklich in Scope gelisteten oder von uns schriftlich bestätigten Assets betreibst, betrachten wir diese Forschung als autorisiert. Protectstar wird wegen solcher Forschung keine rechtlichen Schritte einleiten oder unterstützen, soweit die Ansprüche in unserer Verfügungsgewalt liegen.

Voraussetzungen

  • Keine Ausnutzung über das zur Demonstration nötige Maß hinaus
  • Keine Weitergabe der Schwachstelle an Dritte vor einem Fix
  • Keine Exfiltration, Veränderung, Löschung, Speicherung oder Weitergabe von Daten, die nicht dir gehören. Nutze Test-Accounts, wo möglich
  • Keine Veröffentlichung oder Weitergabe ohne vorherige Koordination und schriftliche Freigabe; 90 Tage sind unser Orientierungswert, keine automatische Freigabe
  • Keine absichtliche Service-Beeinträchtigung oder Datenzerstörung
  • Einhaltung des für dich, deine Forschung und die betroffenen Systeme geltenden Rechts

Falls du versehentlich Daten siehst, die nicht dir gehören, stoppe sofort, greife nicht weiter darauf zu, kopiere, verändere, lösche oder teile sie nicht und melde uns nur die minimal notwendigen Informationen zur Verifikation. Diese Zusage betrifft ausschließlich Ansprüche, die in der Verfügungsgewalt von Protectstar liegen, und autorisiert keine gesetzlich verbotenen Handlungen. Sie erstreckt sich nicht auf Aktivitäten gegen Systeme, Dienste, Netzwerke oder Daten Dritter und schließt unabhängiges Vorgehen Dritter nicht aus. Im Zweifel: vorher fragen, nicht hinterher.

Würdigung

Hall of Fame zuerst. Kleine Anerkennungsbeträge im Einzelfall.

Protectstar betreibt kein klassisches Bug-Bounty-Programm mit festen oder garantierten Auszahlungen. Unser Fokus liegt auf fairer Prüfung, koordinierter Behebung und einer möglichen Hall-of-Fame-Würdigung für Reports, die unsere Voraussetzungen erfüllen. Zusätzlich kann Protectstar bei besonders hilfreichen, validierten, bisher unbekannten und in-scope Reports nach eigenem Ermessen einen kleinen freiwilligen monetären Anerkennungsbetrag anbieten. Es besteht kein Anspruch auf Zahlung; Höhe und Gewährung werden ausschließlich nach Validierung des vollständigen technischen Reports entschieden.

Voraussetzungen für eine mögliche Hall-of-Fame-Würdigung

  • Valide und reproduzierbar dokumentiert
  • Bisher unbekannt und nicht intern in Bearbeitung
  • In Scope gemäß der oben gelisteten Bereiche
  • Erstmals eingereicht (es zählt der Erstmelder)
  • Gemeldet ohne Verstoß gegen diese Richtlinie
  • Materiell relevant für die Sicherheit von Protectstar oder unserer Nutzer
  • Ohne Drohungen oder Zahlungsforderungen vor, während oder nach der Meldung

Severity-Klassifikation

Severity beeinflusst Fix-Priorität und mögliche Anerkennung. Hall of Fame bleibt unsere primäre Form der Würdigung.

Severity Typische Beispiele Mögliche Anerkennung
Kritisch Remote Code Execution, Auth-Bypass, Massendaten-Leak, Update-Integrity-Bruch Hall of Fame; freiwilliger kleiner Anerkennungsbetrag nach Einzelfallprüfung möglich
Hoch Privilege Escalation, kryptografische Schwächen mit Impact, Account-Übernahme Hall of Fame; freiwilliger kleiner Anerkennungsbetrag nach Einzelfallprüfung möglich
Mittel Stored XSS, IDOR mit nachweisbarem Impact, Session-Probleme Hall of Fame; optionaler kleiner Anerkennungsbetrag bei deutlichem, reproduzierbarem Impact möglich
Niedrig Reflected XSS mit eingeschränktem Impact, Info-Disclosure ohne Folgen In der Regel Hall of Fame oder Dank; monetäre Anerkennung nur ausnahmsweise

Severity wird mit CVSS 4.0 oder CVSS 3.1 als Richtschnur eingeschätzt. Die finale Bewertung trifft Protectstar; abweichende Einschätzungen können wir auf Anfrage schriftlich erläutern. Wir verhandeln keine Beträge vor Erhalt und Validierung des vollständigen technischen Reports.

Antwortzeiten

Unsere Zielzeiten.

Wir sind ein schlankes Team, kein 24/7-SOC. Diese Zahlen sind unser Anspruch. Bei Verzögerungen informieren wir dich.

3 Werktage Eingangsbestätigung (Ziel)
10 Werktage Erste technische Triage (Ziel)
90 Tage Koordinierte Offenlegung (Ziel)
Verschlüsselung

PGP-Schlüssel.

Für sensible Schwachstellen-Details kannst du deinen Report verschlüsselt senden.

Fingerprint
B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD
Key ID
0x3513CE31BD10B7AD
Identität
PROTECTSTAR Support Hero
< >

Dieser Schlüssel ist derzeit mit verknüpft und von Protectstar zur verschlüsselten Kommunikation mit autorisiert.

Schlüssel herunterladen
Hall of Fame

Wer uns geholfen hat.

Sicherheitsforscher, die unser Programm verantwortungsvoll genutzt und unsere Produkte sicherer gemacht haben.

Noch keine Einträge.

Unser Programm ist gerade gestartet. Reports, die unsere Voraussetzungen erfüllen, können wir hier würdigen.

Auf Wunsch unter Klarnamen oder Pseudonym. Bei geeigneten Produkt-Schwachstellen prüfen wir eine CVE-Koordination über einen zuständigen CNA.
Häufige Fragen

Bevor du fragst.

Forschung in gutem Glauben heißt: Du folgst dieser Richtlinie, demonstrierst eine Schwachstelle ohne darüber hinausgehende Ausnutzung, meldest sie zuerst an uns und gibst uns Zeit für einen Fix. Safe Harbor entfällt, wenn du diese Grenze überschreitest, Nutzerdaten exfiltrierst oder technische Details zurückhältst, um Zahlungen zu fordern.
Nicht automatisch. Protectstar betreibt kein klassisches Bug-Bounty-Programm mit festen oder garantierten Auszahlungen. Hall of Fame ist unsere primäre Anerkennung. Bei besonders hilfreichen, validierten, bisher unbekannten und in-scope Reports können wir nach eigenem Ermessen einen kleinen freiwilligen monetären Anerkennungsbetrag anbieten. Wir verhandeln keine Rewards vor Erhalt und Validierung des vollständigen technischen Reports.
Anonyme Meldungen akzeptieren wir und behandeln sie technisch identisch. Auf Wunsch nennen wir dich in der Hall of Fame unter einem Pseudonym, sofern die Voraussetzungen erfüllt sind.
Wir nutzen CVSS 4.0 oder CVSS 3.1 als Richtschnur und ergänzen sie um Impact-Faktoren aus deiner Demonstration. Die finale Bewertung trifft Protectstar. Wenn unsere Einschätzung von deiner abweicht, können wir sie auf Anfrage erläutern.
Bei geeigneten Produkt-Schwachstellen prüfen wir eine CVE-Koordination über einen zuständigen CNA oder einen anderen geeigneten Kanal. Eine CVE-Nummer ist nicht garantiert und hängt von den CVE-Regeln des CNA ab.
Ja, aber nur nicht-invasiv, rate-limitiert und auf ausdrücklich in Scope gelisteten Assets. Aggressive Tools, hohe Request-Raten oder Tests, die Verfügbarkeit anderer Nutzer beeinträchtigen könnten, sind nicht erlaubt. Reine Scanner-Ausgaben ohne verifizierten Impact (fehlende Header, TLS-Hinweise, Version Disclosure) sind nicht würdigungsfähig. Im Zweifel: vorher fragen.
Es zählt der Erstmelder. Wenn eine Schwachstelle bereits intern bekannt ist oder bereits gemeldet wurde, ist sie nicht würdigungsfähig. Wir teilen dir das so früh wie möglich mit.
Reports zu Protectstar-Apps und APIs sind willkommen. In dieser ersten Phase werden sie aber im Einzelfall geprüft und sind nicht automatisch würdigungsfähig, sofern das betroffene Asset nicht oben explizit gelistet oder schriftlich von uns bestätigt ist. Schicke uns trotzdem deinen Report.

Schick uns deinen Report.

Wir prüfen ernsthafte Reports und melden uns in der Regel innerhalb weniger Werktage.

PGP verfügbar · security.txt nach RFC 9116 · Safe Harbor für Good-Faith-Forschung
Programm aktiv
Vulnerability Disclosure Program Version 1.0
Aktiv seit Mai 2026 Stand 20. Mai 2026

Wir aktualisieren diese Seite, wenn sich Scope, Bedingungen oder Antwortzeiten wesentlich ändern. Bei rechtlichen Fragen zur Safe-Harbor-Zusage wende dich vor der Forschung an .