WQR
Sicherheit

Security Center

Wir bauen WQR nach einem einfachen Prinzip: Deine Secrets bleiben auf deinem Gerät. Unsere Server können beim Entsperren schützen und Missbrauch abwehren — aber sie sind kein Speicherort für deinen Tresor.

Auf dieser Seite
TransparenzResponsible DisclosureAudit & Bug BountySecurity-ChangelogStatus & Vorfälle
Transparenz

Was wir speichern (und was wir nicht)

Was wir speichern

  • Dein WQR-Tresor bleibt lokal auf deinem Gerät.
  • Wir speichern deinen Tresor-Inhalt nicht auf unseren Servern.
  • Wir speichern weder dein Master-Passwort noch Schlüssel, die Klartext offenlegen könnten.

Was wir loggen (betrieblich)

  • Request-Zeitstempel (für Zuverlässigkeit und Abuse-Defense).
  • Fehlercodes und Service-Health-Metriken.
  • Rate-Limit-/Abuse-Signale (um Brute-Force und Missbrauch zu stoppen).
Wir loggen keine Klartext-Passwörter, keine entschlüsselten Secrets und keine Payload-Inhalte.
Aufbewahrung: Wir behalten Betriebs-Logs nur so lange, wie es für Betrieb, Verteidigung und Abuse-Investigation nötig ist. Wenn ein Incident eine längere Untersuchung erfordert, können incident-bezogene Logs länger aufbewahrt werden.

Wo unsere Server laufen

Wir veröffentlichen die genauen Regionen, sobald das Produkt live ist. Unsere Standardrichtung ist, Sicherheitsinfrastruktur wann immer möglich in datenschutzfreundlichen Jurisdiktionen zu betreiben.

Unterauftragsverarbeiter

Wenn wir Infrastruktur-Anbieter nutzen (Hosting, CDN/DDoS, E-Mail), listen wir sie hier auf, damit Kunden eine informierte Entscheidung treffen können.

Wie wir über Vorfälle kommunizieren

Größere Vorfälle kommunizieren wir über den Status-Bereich unten und — wenn passend — über Hinweise auf der Website.

Sicherheit

Responsible-Disclosure-Policy

Wir begrüßen Security-Reports in guter Absicht. Wenn du glaubst, eine Schwachstelle gefunden zu haben, melde sie bitte privat, damit wir sie verantwortungsvoll untersuchen und beheben können.

So meldest du es

  • E-Mail: security@whyqr.de
  • Bitte mitgeben: Repro-Schritte, betroffene Versionen, Impact und ein sicheres Proof-of-Concept (falls zutreffend).
  • Wenn sensible Daten betroffen sind, beschreibe das Problem bitte, ohne Daten anderer Nutzer offenzulegen.

Safe Harbor

  • Handle in guter Absicht und vermeide Datenschutzverletzungen.
  • Vermeide Service-Störungen (keine destruktiven Tests, kein großflächiges Scanning).
  • Gib uns angemessene Zeit zum Fixen, bevor du öffentlich darüber sprichst.

In Scope (Beispiele)

  • Schwächen in Authentifizierung / Autorisierung
  • Fehler bei Verschlüsselung und Key-Handling
  • Daten-Exposure (Client oder Server)
  • Rate-Limit-Bypass / Abuse-Pfade
  • Client-Schwachstellen, die Secrets offenlegen könnten

Out of Scope (Beispiele)

  • Social Engineering ohne technische Schwachstelle
  • Physische Angriffe ohne technische Schwäche
  • Spam-Reports ohne reproduzierbare Evidenz
Antwort: Wir wollen Reports zügig bestätigen (typisch innerhalb weniger Werktage), dann triagieren und Fixes nach Severity priorisieren. Wenn du Credit möchtest, sag uns, wie du gelistet werden willst.
Validierung

Audit & Bug Bounty

Vertrauen ist stärker, wenn es verifiziert ist. Unser Ziel ist, unabhängige Validierung zu unterstützen, während wir wachsen — beginnend mit klarer Disclosure, danach Audits und einem Bug-Bounty-Programm, sobald Ressourcen es erlauben.

Drittanbieter-Audit

Geplant

Audit-Schwerpunkte (geplant):

  • Kryptografie-Nutzung und Key-Handling
  • Server-gestützter Entsperr-Mechanismus
  • Client-Speicher und Memory-Handling
  • Abuse-Kontrollen und Rate-Limiting
  • Update-/Release-Integrität

Bug Bounty

Geplant

Wir erwarten, mit einem begrenzten Programm zu starten und es über die Zeit auszubauen. Rewards können klein beginnen (z. B. Abo-Zeit oder fixe Bounties) und mit der Reife des Produkts skalieren.

Aktuell ist der beste Weg Responsible Disclosure via security@whyqr.de.

Transparenz

Security-Changelog

Wir veröffentlichen sicherheitsrelevante Härtungen und Fixes, um stetige Verbesserung zu zeigen — ohne Exploit-Anleitungen zu posten. Wenn eine Änderung Nutzeraktionen erfordert, sagen wir das klar.

Format

YYYY-MM-DD — Version X.Y.Z
- Behoben: <was geändert wurde>
- Gehärtet: <was verbessert wurde>
- Geändert: <Verhalten oder Defaults>
- Hinweise: <was Nutzer tun sollten>
Wir beschreiben Fixes ohne Schritt-für-Schritt-Exploit-Guides.

Einträge

Kommt bald

Wir veröffentlichen Einträge, sobald Releases stabiler sind. Bis dahin fassen wir sicherheitsrelevante Änderungen in Release Notes und auf dieser Seite zusammen.

Zuverlässigkeit

Status & Incident-Updates

Weil WQR für das Entsperren ein Server-Shield nutzt, ist Verfügbarkeit wichtig. Dieser Bereich erklärt, was wir monitoren und wie wir Incidents kommunizieren.

Komponenten

  • API (Unlock-Shield & Security Operations)
  • Website
  • Download-Distribution
  • Support-Postfach

Aktueller Status

Info

Eine eigene Status-Seite ist geplant. Bis sie live ist, posten wir größere Incident-Updates hier und antworten über Support.

Brauchst du jetzt Hilfe? Schreib an support@whyqr.de.

Vergangene Vorfälle

Noch nichts veröffentlicht

Wenn Vorfälle passieren, veröffentlichen wir: Datum, Dauer, Impact-Zusammenfassung und Mitigations — ohne sensible Defense-Details offenzulegen.

Support kontaktierenSicherheitsmodell lesen