Lieber Besucher,
um Ihnen den best­möglichen Service zu bieten, verwenden wir Cookies. Einige Cookies sind für den Betrieb der Website notwendig. Andere Cookies für anonyme Statistiken, Präferenzen wie Sprache oder die Anzeige von Dritt­anbieter-Inhalten sind optional. Abhängig von Ihrer Auswahl umfasst Ihre Einwilligung auch eine Übermittlung von Daten an Empfänger in Drittstaaten ohne angemessenes Daten­schutz­niveau, wie insbesondere die USA, mit dem Risiko eines Zugriffs durch Behörden dort ohne Rechts­mittel. Unter Datenschutz erhalten Sie weitere Informationen und können jederzeit die Einstellungen für Cookies anpassen.

Richtlinie zur Meldung von Schwachstellen

Eine Sicherheitslücke melden

Bei METRO haben die Sicherheit und die Kontrolle der Daten unserer Kunden oberste Priorität. Um dies zu erreichen, begrüßen wir die wichtige Rolle, die Sicherheitsforscher für die Sicherheit unserer Systeme und Daten spielen. Um die verantwortungsvolle Meldung potenzieller Sicherheitslücken zu fördern, hat sich das METRO-Sicherheitsteam verpflichtet, mit der Community zusammenzuarbeiten, um legitime Meldungen zu überprüfen, zu reproduzieren und darauf zu reagieren.

Wenn Sie der Meinung sind, dass Sie eine potenzielle Sicherheitslücke in den METRO-Diensten gefunden haben, die im Rahmen der zulässigen Tests liegt, melden Sie uns diese bitte sofort. Wir werden alle legitimen Meldungen untersuchen und unser Bestes tun, um die Probleme schnell zu beheben.

Bitte geben Sie keine Erkenntnisse weiter, bevor wir nicht die Möglichkeit hatten, diese mit Ihnen zu überprüfen und zu beheben. Wir danken Ihnen für Ihre Hilfe, METRO für unsere Community sicher zu machen.

Leitlinien für eine verantwortungsvolle Offenlegung

Um eine verantwortungsbewusste Offenlegung zu fördern, wird METRO keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, wenn diese sich an diese Richtlinie und die folgenden Leitlinien halten:

  • METRO hat eine Partnerschaft mit HackerOne Inc. (im weiteren Text „HackerOne“) für unser Programm zur Offenlegung von Sicherheitslücken geschlossen. Benachrichtigen Sie METRO und geben Sie alle Einzelheiten zu den von Ihnen gefundenen Schwachstellen ausschließlich über das unten stehende HackerOne-Formular bekannt.
  • Jede Sicherheitslücke wird ausschließlich über die HackerOne-Plattform gemeldet.
  • Geben Sie alle notwendigen Details an, einschließlich mindestens der IP-Adresse und des Datums/Zeitstempels und, falls zutreffend, des METRO-Kontonutzernamens der Schwachstelle, um die Validierung und Reproduktion des Problems zu unterstützen.
  • Mitarbeiter der METRO und der mit ihr verbundenen Unternehmen (im Sinne der §§ 15 ff. des Aktiengesetzes, zusammen „METRO Group“) sowie etwaige Technologiepartner der METRO Group dürfen nicht an diesem Programm teilnehmen.
  • Sie dürfen nur mit Konten testen, die Ihnen persönlich gehören. Sie dürfen nicht mit Konten interagieren, auf sie zugreifen oder sie verändern, die nicht Ihnen gehören.
  • Greifen Sie nicht auf Daten zu oder versuchen Sie nicht, auf Daten zuzugreifen, die Ihnen nicht gehören.
  • Nutzen Sie keine Sicherheitslücke aus, die Sie aus irgendeinem Grund entdecken. (Dazu gehört auch das Aufzeigen zusätzlicher Risiken, z. B. der Versuch, sensible Daten zu kompromittieren oder nach weiteren Problemen zu suchen).
  • Führen Sie keine Handlungen aus, die METRO oder seine Benutzer negativ beeinflussen könnten, wie z.B. das Ausführen oder Versuchen eines „Denial of Service“-Angriffs, das Posten, Übertragen, Hochladen, Verlinken, Senden oder Speichern von bösartiger Software und/oder Dateien, das Testen von Anwendungen, Websites oder Diensten Dritter, die in METRO Anwendungen integriert sind oder einen Link zu diesen enthalten.
  • Führen Sie keine nicht-technischen Angriffe wie Social Engineering, Phishing oder unbefugten Zugriff auf die Infrastruktur und Mitarbeiter von METRO durch.
  • Testen Sie nicht die physische Sicherheit von Metro-Büros, -Märkten, -Mitarbeitern, -Ausrüstung usw.
  • Verletzen Sie keine Gesetze und stören oder gefährden Sie keine Daten, die nicht Ihre eigenen sind.
  • Indem Sie einen Sicherheitsproblem oder eine Schwachstelle melden, garantieren Sie, dass Ihr Bericht nicht die geistigen Eigentumsrechte Dritter verletzt, und erteilen uns eine gebührenfreie Lizenz, Ihren Bericht für alle damit verbundenen Sicherheitszwecke zu verwenden, wie z.B. zur Behebung, internen Analyse oder Verbesserung der Sicherheit.

Meldung von Schwachstellen

Alle Schwachstellen müssen über die HackerOne-Plattform unter strikter Einhaltung des definierten Umfangs, der Werte und der Richtlinien von METRO gemeldet werden, wie in dieser Richtlinie zur Meldung von Schwachstellen und unter dem folgenden Link dargelegt:

Eine Sicherheitslücke bei HackerOne melden

Öffentliche Anerkennungspolitik

Zurzeit führt METRO KEINE öffentlich zugängliche Liste der extern gemeldeten Probleme und Berichterstatter.

Geldprämien können ausschließlich für behobene KRITISCHE und HOHE Sicherheitslücken vergeben werden. Andere gemeldete Sicherheitslücken können nach dem alleinigen Ermessen von METRO für eine nicht-monetäre Anerkennung in Frage kommen. Ein internes monatliches Komitee ist für die Überprüfung der eingereichten Meldungen und die Festlegung der angemessenen Belohnungen verantwortlich.

Datenschutz

Die von Ihnen gemeldeten Sicherheitsschwachstellen sollten keine personenbezogenen Daten enthalten. Falls der Bericht personenbezogene Daten enthalten muss, um eine Schwachstelle zu beheben, ist die METRO AG der Verantwortliche für die Verarbeitung der personenbezogenen Daten, die Sie im Rahmen einer Schwachstellenmeldung übermitteln.

Wir verarbeiten diese Daten, um gemeldete Sicherheitslücken zu validieren, zu untersuchen und zu verwalten und um die Sicherheit unserer Systeme zu verbessern. Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse an der Aufrechterhaltung und Verbesserung der Sicherheit unserer digitalen Dienste gemäß Artikel 6(1)(f) der Allgemeinen Datenschutzverordnung (GDPR).

Wenn Sie einen Bericht einreichen, können wir personenbezogene Daten wie Ihre Kontaktinformationen, Ihre IP-Adresse, relevante Zeitstempel und die technischen Details, die Sie in Bezug auf die Schwachstelle angeben, verarbeiten. Wir benötigen keine personenbezogenen Daten von Dritten und bitten Sie, solche Informationen nicht in Ihre Meldung aufzunehmen.

Ihre Meldung wird von den internen Sicherheitsteams von METRO und ggf. von HackerOne geprüft.

Wir bewahren die personenbezogenen Daten im Zusammenhang mit Ihrer Meldung nur so lange auf, wie es für die Untersuchung und Behebung des Problems, die Führung genauer Sicherheitsaufzeichnungen und die Einhaltung gesetzlicher oder behördlicher Auflagen erforderlich ist.

Als betroffene Person haben Sie das Recht, Zugang zu Ihren personenbezogenen Daten zu verlangen, sowie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und, unter bestimmten Umständen, auf Widerspruch gegen die Verarbeitung. Sie können sich an den Datenschutzbeauftragten von METRO wenden, indem Sie die in der Datenschutzerklärung von METRO angegebenen Kontaktdaten verwenden, um diese Rechte auszuüben oder um weitere Informationen darüber zu erhalten, wie METRO personenbezogene Daten verarbeitet.

Nähere Informationen darüber, wie METRO personenbezogene Daten verwendet, verarbeitet und schützt, finden Sie in der Datenschutzerklärung von METRO.

Änderungen der Politik

METRO kann dieses Programm jederzeit beenden oder diese Richtlinie ändern. Bitte lesen Sie die aktuelle Version dieser Richtlinie, bevor Sie Schwachstellentests durchführen oder andere Maßnahmen auf der Grundlage dieser Richtlinie ergreifen.


Richtlinie zuletzt aktualisiert an diesem Datum: 16/06/2025