Meldung von Sicherheitslücken (Vulnerability Disclosure Policy)

Juli 2026

Einleitung

Die Sicherheit unserer Kundinnen und Kunden, Mitarbeitenden, Systeme und Dienste hat für die flatexDEGIRO SE und die flatexDEGIRO Bank SE höchste Priorität.

Wir begrüßen Hinweise von Sicherheitsforschenden, Kundinnen und Kunden sowie Dritten zu möglichen Sicherheitslücken in unseren Systemen, Anwendungen und Diensten. Eine verantwortungsvolle Meldung von Schwachstellen ermöglicht es uns, Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu ergreifen, um sie zu minimieren und zu beheben.

Geltungsbereich

Diese Richtlinie gilt für öffentlich zugängliche Systeme, Anwendungen und Dienste der flatexDEGIRO SE und der flatexDEGIRO Bank SE sowie ihrer Marken, insbesondere:

  • flatex Deutschland
  • flatex Österreich
  • DEGIRO
  • ViTrade

Dienste, Systeme und Anwendungen Dritter sind von dieser Richtlinie ausgenommen, sofern sie nicht von der flatexDEGIRO SE oder der flatexDEGIRO Bank SE betrieben werden.

Wie Sie eine Meldung einreichen

Sicherheitsrelevante Meldungen können Sie an folgende E-Mail-Adresse senden:

vulnerability@flatexdegiro.com

Wir unterstützen verschlüsselte Kommunikation per S/MIME. Informationen dazu, wie Sie das entsprechende Zertifikat erhalten und prüfen können, stellen wir Ihnen auf Anfrage oder über die oben genannte Kontaktadresse zur Verfügung.

Bitte beachten Sie, dass wir Ihre Daten im Rahmen der Bearbeitung speichern und verarbeiten. Wenn Sie möchten, dass Ihre Meldung anonym bearbeitet wird, geben Sie dies bitte in Ihrer E-Mail an.

Was sollte die Meldung enthalten

Bitte geben Sie nach Möglichkeit die folgenden Informationen an:

  • Beschreibung der Sicherheitslücke
  • Betroffene Anwendung, Website, API oder Dienst
  • Schritte zur Reproduktion des Problems
  • Mögliche Auswirkungen
  • Technische Nachweise oder Proof of Concept
  • Kontaktdaten für Rückfragen

Je vollständiger die Angaben sind, desto effizienter können wir die Bewertung vornehmen.

Wie wir mit Meldungen umgehen

Nach Eingang einer Meldung werden wir:

  • den Eingang der Meldung bestätigen,
  • die gemeldete Sicherheitslücke analysieren und bewerten,
  • bei Bedarf Rückfragen stellen,
  • geeignete Maßnahmen ergreifen, um das Risiko zu minimieren und das Problem zu beheben.

Wir streben an,

- Meldungen innerhalb von 72 Stunden zu bestätigen,

- innerhalb von 7 Tagen eine erste Einschätzung zu geben,

- kritische Sicherheitslücken nach Möglichkeit innerhalb von 30 Tagen zu beheben.

Priorisierung und Bearbeitung richten sich nach unseren internen Verfahren zur Risiko- und Sicherheitsbewertung. Den Schweregrad bewerten wir anhand von Branchenstandards wie CVSS.

Verhaltensregeln

Wir bitten alle Meldenden,

  • verantwortungsvoll und nach Treu und Glauben zu handeln,
  • die Verfügbarkeit unserer Systeme nicht zu beeinträchtigen,
  • keine Kundendaten, personenbezogenen Daten oder vertraulichen Informationen einzusehen, zu speichern, zu verändern oder offenzulegen,
  • keine Daten zu löschen oder zu manipulieren,
  • keine Social-Engineering-Angriffe durchzuführen,
  • keine Denial-of-Service-Angriffe (DoS/DDoS) durchzuführen,
  • keine automatisierten Tests durchzuführen, die die Verfügbarkeit unserer Systeme erheblich beeinträchtigen,
  • keine physischen Sicherheitsmaßnahmen zu umgehen,
  • entdeckte Sicherheitslücken nicht öffentlich bekannt zu machen, bevor sie ordnungsgemäß bewertet und behoben wurden.

Kein Bug-Bounty-Programm

Die flatexDEGIRO SE und die flatexDEGIRO Bank SE betreiben derzeit kein öffentliches Bug-Bounty-Programm.

Die Meldung von Sicherheitslücken erfolgt freiwillig und begründet keinen Anspruch auf Vergütung, Belohnung oder sonstige Vorteile.

Vertraulichkeit

Wir behandeln eingehende Meldungen vertraulich und verwenden die übermittelten Informationen ausschließlich, um die gemeldete Sicherheitslücke zu bewerten und zu beheben sowie gesetzliche und aufsichtsrechtliche Vorgaben zu erfüllen.

Safe Harbor

Wir leiten keine rechtlichen Schritte gegen Personen ein, die nach Treu und Glauben handeln, diese Richtlinie einhalten und Sicherheitslücken verantwortungsvoll melden.

Aufsichtsrechtliche Anforderungen

Bestätigte Sicherheitslücken und Sicherheitsvorfälle können im Einklang mit den geltenden gesetzlichen, aufsichtsrechtlichen und regulatorischen Anforderungen behandelt werden.

Änderungen

Die flatexDEGIRO SE und die flatexDEGIRO Bank SE behalten sich vor, diese Richtlinie jederzeit zu ändern oder zu aktualisieren.