Responsible Disclosure Policy

1. Einleitung

Die Stadt Ravensburg nimmt die Sicherheit ihrer digitalen Infrastruktur und den Schutz personenbezogener Daten sehr ernst. Trotz sorgfältiger Entwicklung und regelmäßiger Überprüfung unserer IT-Systeme können Sicherheitslücken nicht vollständig ausgeschlossen werden.

Wir schätzen die Arbeit von Sicherheitsforscherinnen und -forschern sowie engagierten Bürgerinnen und Bürgern, die dazu beitragen, unsere Systeme sicherer zu machen. Diese Richtlinie dient als Leitfaden für eine koordinierte und partnerschaftliche Zusammenarbeit zwischen der Kommune und der Sicherheits-Community.

2. Geltungsbereich

Diese Richtlinie gilt für alle digitalen Systeme und Webangebote, die von der Stadt Ravensburg betrieben werden, insbesondere:

  • Offizielle Webseite(n) unter der Domain ravensburg.de
  • Bürgerserviceportale und Online-Formulare


Hinweis: Technische Informationen und Kontaktwege finden Sie auch maschinenlesbar unter ravensburg.de/.well-own/security.txtkn.


Ausgenommen sind Systeme Dritter (z. B. externe Dienstleister, Verbundpartner oder Bundesbehörden), auch wenn diese über unsere Webseite erreichbar sind. Bitte wenden Sie sich in diesen Fällen direkt an den jeweiligen Betreiber. Sollten Sie unsicher sein, ob ein System in unseren Zuständigkeitsbereich fällt, kontaktieren Sie uns bitte vorab.

3. Was wir von Ihnen erwarten

Wenn Sie eine Sicherheitslücke entdecken, bitten wir Sie:

  • Keine Daten einzusehen, zu kopieren, zu verändern oder zu löschen, die über das zur Verifikation der Schwachstelle unbedingt erforderliche Maß hinausgehen.
  • Keine Angriffe auf die Verfügbarkeit unserer Dienste durchzuführen (z. B. Denial-of-Service-Angriffe).
  • Kein Social Engineering (z. B. Phishing) gegen Mitarbeiter oder Bürger der Kommune einzusetzen.
  • Keine physischen Angriffe auf Gebäude oder IT-Infrastruktur durchzuführen
  • Keine Informationen an Dritte weiterzugeben, bis das Problem behoben wurde und wir einer Veröffentlichung zugestimmt haben.
  • Die Schwachstelle unverzüglich und ausschließlich über den unten genannten Meldeweg zu melden.
  • Keine automatisierten Scan-Tools in großem Umfang einzusetzen, die unsere Systeme belasten könnten.
  • Im Rahmen der geltenden Gesetze zu handeln, insbesondere des § 202a ff. StGB sowie der DSGVO.

4. Meldung einer Sicherheitslücke

Bitte senden Sie Ihren Hinweis per E-Mail an:
it-webservices(at)ravensburg.de

Ihre Meldung sollte folgende Informationen enthalten:


1. Beschreibung der Sicherheitslücke
2. Betroffene URL(s) oder Systemkomponente(n)
3. Schritte zur Reproduktion
4. Mögliche Auswirkungen
5. Ihre Kontaktdaten (freiwillig)

5. Was Sie von uns erwarten können

Schritt

Zeitrahmen

Eingangsbestätigung

Innerhalb von 3 Werktagen (bei kritischen Lücken i.d.R. schneller)

Erste Einschätzung

Innerhalb von 10 Werktagen

Status-Update

Mindestens alle 4 Wochen

Behebung

Angestrebt innerhalb von 90 Tagen (abhängig von Komplexität)

6. Rechtlicher Rahmen und Safe Harbor

Solange Sie diese Richtlinie einhalten, werden wir:


  • Keine rechtlichen Schritte gegen Sie einleiten.
  • Ihre Aktivitäten als gutgläubiges Handeln bewerten.
  • Ihre Daten vertraulich behandeln.

Erweiterter Schutz: Wir verstehen, dass bei der Suche nach Schwachstellen Fehler passieren können. Sollten Sie unbeabsichtigt und geringfügig gegen diese Richtlinie verstoßen, während Sie im guten Glauben (in good faith) handeln, behalten wir uns vor, dennoch von rechtlichen Schritten abzusehen, sofern die Integrität unserer Daten nicht nachhaltig geschädigt wurde.

7. Anerkennung

Wir wissen Ihr Engagement zu schätzen. Nach erfolgreicher Behebung bedanken wir uns gerne persönlich bei Ihnen.


Eine finanzielle Vergütung ist derzeit nicht vorgesehen.

8. Summary for International Researchers (English)

If you find a security vulnerability in the digital systems of Stadt Ravensburg, please report it to it-webservices(at)ravensburg.de. We ask you not to leak any data, avoid disruptive tests (DoS), and refrain from social engineering. In return, we provide a "Safe Harbor": we will not take legal action against researchers acting in good faith and complying with this policy. We aim to acknowledge your report within 3 business days.

9. Kontakt und Ansprechpartner

E-Mail (Sicherheit): it-webservices(at)ravensburg.de

Verantwortliche Stelle:
Stadt Ravensburg
Timo Hartmann
Amt für Kommunikation, Politik und Gesellschaft
Marineplatz 35
88212 Ravensburg
Telefon: +49 751 82-0
mail(at)ravensburg.de



Datenschutzbeauftragter:
Komm.ONE AöR
Weissacher Str. 15
70499 Stuttgart
datenschutzbeauftragte(at)komm.one oder datenschutz(at)ravensburg.de


Diese Richtlinie orientiert sich an Standards der Coordinated Vulnerability Disclosure (CVD) und den Empfehlungen des BSI.

Stadt Ravensburg
Stand: Mai 2026

Suche

Teilen
Newsletter der Stadt Ravensburg
Sie wollen regelmäßig per E-Mail informiert werden?
Dann melden Sie sich für die kostenlosen Newsletter der Stadt Ravensburg an.
Newsletter abonnieren
Folgen Sie uns

Datenschutzhinweis

Diese Webseite verwendet das Webanalysetool Matomo für die Auswertung anonymer Informationen der Besucher. Datenschutzinformationen

Impressum