Vulnerability Disclosure Policy

Die m8mit-Plattform (betrieben durch die msu solutions GmbH) nimmt Cybersicherheit ernst. Wir begrüßen Hinweise von Sicherheitsforscherinnen und -forschern, die Schwachstellen in unseren Systemen verantwortungsvoll an uns melden. Diese Richtlinie beschreibt, wie Sie eine Schwachstelle melden können, was Sie von uns erwarten dürfen und welche Regeln für die Forschung gelten.

Diese Richtlinie ist gemäß den Anforderungen des EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) sowie dem Entwurf der koordinierten Offenlegungsrichtlinien der ENISA erstellt.

1. Safe Harbour — Rechtlicher Schutz für Sicherheitsforschende

msu solutions GmbH erteilt hiermit Sicherheitsforschenden, die sich an diese Richtlinie halten, eine ausdrückliche Erlaubnis, auf die In-Scope-Systeme zuzugreifen, soweit dies ausschließlich dem Nachweis einer Schwachstelle dient. Innerhalb dieses Rahmens gilt der Zugriff als befugt im Sinne von § 202a StGB. msu solutions GmbH wird für richtlinienkonformes Verhalten keinen Strafantrag nach §§ 202a, 202b StGB stellen und keine zivilrechtlichen Ansprüche geltend machen. Hinweis: § 202c StGB ist ein Offizialdelikt — dieser Safe Harbour gilt ausschließlich für Ansprüche von msu solutions GmbH, nicht für Ansprüche Dritter.

Dieser Safe Harbour gilt ausdrücklich nicht, wenn:

  • Kundendaten abgerufen, kopiert, verändert oder veröffentlicht werden,
  • Systeme über den reinen Nachweis (Proof of Concept) hinaus ausgenutzt werden,
  • Angriffe gegen Dritte (Kunden, Partner) durchgeführt werden, oder
  • die Schwachstelle vor unserer Bestätigung öffentlich gemacht wird.

Hinweis für Sicherheitsforschende aus der Schweiz: Dieser Safe Harbour basiert auf deutschem Recht (§§ 202a, 202b StGB). Art. 143 CH-StGB (Unbefugtes Eindringen in ein Datenverarbeitungssystem) ist ein Offizialdelikt — ein Strafantragsverzicht durch msu solutions GmbH ist nach Schweizer Recht ohne rechtliche Wirkung. Schweizer Sicherheitsforschende werden gebeten, vor Beginn ihrer Forschung direkt mit uns Kontakt aufzunehmen: support@m8mit.de

2. Geltungsbereich (Scope)

In Scope — Systeme, für die wir Meldungen begrüßen

  • Öffentliche Webdienste unter m8mit.de und Subdomains (z. B. www.m8mit.de, api.m8mit.de)
  • Kundenportal (Fahrerinnen und Fahrer): Web-Anwendung und API-Endpunkte
  • Betreiberportal: Web-Anwendung und zugehörige API-Endpunkte
  • Mobile App (iOS & Android): Anwendungslogik, API-Kommunikation, lokale Datenspeicherung
  • Authentifizierungs- und Autorisierungsmechanismen der genannten Systeme

Out of Scope — Systeme und Methoden außerhalb des Geltungsbereichs

  • Drittanbieter-Infrastruktur: Microsoft Azure, Telekommunikationsanbieter, CDN-Anbieter, externe Zahlungsdienstleister.
  • Denial-of-Service-Angriffe (DoS/DDoS) jeglicher Art.
  • Social Engineering gegen Mitarbeitende, Kunden oder Partner (Phishing, Vishing, Pretexting).
  • Physischer Zugang zu Ladeinfrastruktur (Ladepunkte, Ladesäulen, Hardware-Manipulationen).
  • Schwachstellen in Systemen oder Software, die wir nicht betreiben oder kontrollieren.
  • Volumetrische Tests (z. B. Brute-Force-Angriffe, automatisiertes Massenscanning).

3. Meldeprozess — So erreichen Sie uns

Bitte senden Sie Ihre Meldung per E-Mail an: support@m8mit.de

Betreffzeile: [Security] Vulnerability Report — [kurze Beschreibung]

Bitte geben Sie an: betroffene URL/Endpunkt, Schwachstellentyp, Schritte zur Reproduktion, Proof of Concept (ohne echte Kundendaten), mögliche Auswirkung.

4. Bearbeitungs-SLA

  • Erstantwort innerhalb von 72 Stunden
  • Triagierung innerhalb von 10 Werktagen
  • Angestrebte Behebungsfrist von 90 Tagen (max. 180 Tage gemäß ISO/IEC 29147)
  • Abschlussmitteilung nach Behebung

5. Regeln für Sicherheitsforschende

  • Keine Ausnutzung über den PoC hinaus
  • Keine Kundendaten abrufen oder speichern
  • Kein DoS
  • Keine Veröffentlichung vor unserer Freigabe
  • Keine Weitergabe an Dritte vor Behebung

6. Meldepflichten nach dem Cyber Resilience Act (CRA)

Als Hersteller von Produkten mit digitalen Elementen unterliegt msu solutions GmbH ab dem 11. September 2026 den Meldepflichten des EU Cyber Resilience Act (CRA, Art. 14). Meldungen erfolgen an den nationalen CSIRT und ENISA (über die CRA Single Reporting Platform). Bitte vermerken Sie in Ihrer Meldung explizit, wenn eine Schwachstelle aktiv ausgenutzt wird.

Vollständige SLA-Kette nach CRA Art. 14:

  • Frühwarnung: 24 Stunden (bei aktiv ausgenutzten Schwachstellen)
  • Vollständige Meldung: 72 Stunden
  • Abschlussbericht: 14 Tage nach Verfügbarkeit einer Korrekturmaßnahme

7. Kontakt

E-Mail: support@m8mit.de

URL dieser Richtlinie: https://www.m8mit.de/responsible-disclosure

Wir danken allen Sicherheitsforschenden, die dazu beitragen, die m8mit-Plattform sicherer zu machen.

8. Datenschutz

Wenn Sie eine Schwachstellenmeldung an support@m8mit.de senden, verarbeitet msu solutions GmbH die in Ihrer E-Mail enthaltenen personenbezogenen Daten (z. B. Name, E-Mail-Adresse) auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Sicherheitsmeldungen und der Einhaltung gesetzlicher Meldepflichten).

  • Zweck: Bearbeitung Ihrer Meldung, Kommunikation über den Bearbeitungsfortschritt, Erfüllung von Meldepflichten (CRA Art. 14).
  • Speicherdauer: Bis zu 3 Jahre nach Abschluss des Vorgangs (Compliance-Nachweis gemäß CRA).
  • Empfänger: Interne Sicherheitsteam-Mitglieder sowie ggf. nationale Behörden/CSIRT bei Meldepflicht.
  • Ihre Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch gemäß DSGVO Art. 15–21.

Weitere Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung.

English Version — Responsible Disclosure of Security Vulnerabilities

The m8mit platform (operated by msu solutions GmbH) takes cybersecurity seriously. We welcome reports from security researchers who responsibly disclose vulnerabilities in our systems.

1. Safe Harbour

msu solutions GmbH hereby grants security researchers who comply with this policy explicit permission to access the in-scope systems solely for the purpose of demonstrating a vulnerability. Within this scope, such access is considered authorised within the meaning of § 202a StGB. msu solutions GmbH will not file a criminal complaint under §§ 202a, 202b StGB and will not assert civil claims for policy-compliant conduct. Note: § 202c StGB is a public-prosecution offence — this Safe Harbour applies exclusively to claims by msu solutions GmbH, not to claims by third parties.

Note for researchers based in Switzerland: This Safe Harbour is based on German law (§§ 202a, 202b StGB). Art. 143 CH-StGB (Unauthorised access to a data processing system) is a public-prosecution offence — a waiver of criminal complaint by msu solutions GmbH has no legal effect under Swiss law. Swiss-based researchers are kindly asked to contact us before starting any research: support@m8mit.de

2. Scope

In Scope: Public web services at m8mit.de and subdomains, Customer Portal, Operator Portal, Mobile App (iOS & Android), authentication and authorisation mechanisms.

Out of Scope: Third-party infrastructure (Azure, CDN, payment providers), DoS/DDoS attacks, social engineering, physical access to charging infrastructure, volumetric testing.

3. Reporting

Send your report to: support@m8mit.de with subject: [Security] Vulnerability Report — [brief description]

4. Response SLA

  • Initial response within 72 hours
  • Triage within 10 business days
  • Target remediation: 90 days (max. 180 days per ISO/IEC 29147)
  • Final report: 14 days after remediation available

5. Rules for Researchers

  • No exploitation beyond PoC
  • No customer data access
  • No DoS
  • No disclosure before our confirmation
  • No sharing with third parties before remediation

6. CRA Reporting Obligations

As a manufacturer of products with digital elements, msu solutions GmbH is subject to the reporting obligations of the EU Cyber Resilience Act (CRA, Art. 14) from 11 September 2026. Reports are filed with the national CSIRT and ENISA (via the CRA Single Reporting Platform). CRA Art. 14 SLA chain: Early warning: 24 h — Full notification: 72 h — Final report: 14 days after remediation. Please indicate if a vulnerability is being actively exploited.

7. Contact

Email: support@m8mit.de

Policy URL: https://www.m8mit.de/responsible-disclosure

8. Privacy

When you send a vulnerability report to support@m8mit.de, msu solutions GmbH processes the personal data contained in your email (e.g. name, email address) on the basis of Art. 6(1)(f) GDPR (legitimate interest in processing security reports and meeting statutory reporting obligations).

  • Purpose: Processing your report, communicating on progress, fulfilling reporting obligations (CRA Art. 14).
  • Retention: Up to 3 years after closure of the case (compliance documentation per CRA).
  • Recipients: Internal security team members; competent authorities/CSIRT where reporting is required.
  • Your rights: Access, rectification, erasure, restriction, objection under GDPR Art. 15–21.

For full details on data processing, please see our Privacy Policy.

Schwachstelle entdeckt?

Melden Sie uns Sicherheitslücken sicher und verantwortungsvoll — wir schützen Sie dabei.

Jetzt melden