Rechtlich

Bug Bounty & Improvement Programm

Teilnahmebedingungen für die verantwortungsvolle Meldung von Sicherheitslücken, technischen Fehlern und Verbesserungsvorschlägen für Omega Connect.

Stand: Mai 2026 Verbindlich: Deutsche Fassung C&W Software Labs AG

Wichtiger Hinweis: Die Teilnahme am Bug Bounty & Improvement Programm ist freiwillig. Mit jeder Einreichung akzeptieren Teilnehmende diese Teilnahmebedingungen in ihrer jeweils aktuellen Fassung. Es besteht kein Anspruch auf Teilnahme, Prüfung, Veröffentlichung, Umsetzung oder Vergütung.

§ 1

Anbieterin und Geltungsbereich

Diese Teilnahmebedingungen regeln die Teilnahme am Bug Bounty & Improvement Programm der C&W Software Labs AG, Bundesplatz 4, 6302 Zug, Schweiz (nachfolgend «Betreiberin») für Omega Connect und die unter omegaconnect.app bereitgestellten Dienste.

Das Programm dient der verantwortungsvollen Offenlegung von Sicherheitslücken, der Meldung technischer Fehler sowie der Einreichung von Verbesserungsvorschlägen. Es richtet sich an natürliche und juristische Personen, welche die hierin festgelegten Regeln vollständig einhalten.

Diese Teilnahmebedingungen gelten für sämtliche Einreichungen, unabhängig vom Kommunikationsweg (E-Mail, Formular, Community-Kanal, Support, Direktnachricht).

§ 2

Verhältnis zu AGB, Datenschutz und sonstigen Regelungen

Ergänzend gelten die AGB sowie die Datenschutzerklärung. Bei Widersprüchen gehen diese Teilnahmebedingungen für die Programmteilnahme vor.

Die Nutzung von Omega Connect ausserhalb des Programms bleibt den AGB unterstellt. Diese Teilnahmebedingungen gewähren keine weitergehenden Zugriffs- oder Angriffsrechte als ausdrücklich erlaubt.

§ 3

Begriffsbestimmungen

«Teilnehmende» — Personen oder Unternehmen, die einen Report oder eine Improvement Submission einreichen.
«Report» — Meldung zu einer Sicherheitslücke, einem technischen Fehler oder Problem in Omega Connect.
«Sicherheitslücke» — Reproduzierbarer, praktisch ausnutzbarer Umstand, der Vertraulichkeit, Integrität, Verfügbarkeit, Authentifizierung, Verschlüsselung oder Wallet-Sicherheit beeinträchtigen kann.
«Bug» — Reproduzierbarer technischer Fehler, nicht zwingend sicherheitsrelevant.
«Improvement Submission» — Feature-Idee, UI-/UX-Verbesserung, Workflow-Optimierung, Dokumentationsverbesserung oder sonstiger Verbesserungsvorschlag.
«Einreichung» — Reports, Improvement Submissions, PoCs, Screenshots, Videos, Logs, Quellcode und sämtliche damit verbundenen Informationen.
«Scope» — Die von der Betreiberin als Gegenstand des Programms definierten Systeme und Bereiche.
«Vertrauliche Informationen» — Sämtliche nicht öffentlich verfügbaren Informationen über Omega Connect, insbesondere Sicherheitslücken, Exploit-Details, interne Architektur und nicht veröffentlichte Funktionen.

§ 4

Teilnahmeberechtigung

Teilnahmeberechtigt ist jede natürliche oder juristische Person, die geschäftsfähig ist, nicht auf Sanktionslisten geführt wird und nicht gegen anwendbares Recht verstösst.

Nicht teilnahmeberechtigt sind Personen, die in den letzten 12 Monaten bei der Betreiberin beschäftigt oder beauftragt waren oder Zugang zu nicht öffentlichem Quellcode, Architekturdetails oder internen Systemen hatten.

§ 5

Programmumfang (Scope)

Zum Programmumfang gehören insbesondere:

Die Website omegaconnect.app und ihre Unterseiten;
Die Omega Connect App für iOS und Android;
APIs und Backend-Dienste unter der Kontrolle der Betreiberin;
Authentifizierung, Session-Management und OTP-System;
PGP-Verschlüsselung, Schlüsselableitung, Wallet-Logik;
OMDP39 Seed-Protection-Verfahren;
Bug-Bounty-Formular und Bug-Tracker.

Die Betreiberin kann den Scope jederzeit erweitern oder einschränken.

§ 6

Ausgeschlossene Bereiche und unzulässige Methoden

Ausdrücklich untersagt sind insbesondere:

Angriffe gegen Drittanbieter, Hosting-Provider, App-Stores, Blockchains, Browser oder Betriebssysteme;
Social Engineering, Phishing, Vishing, Manipulation von Mitarbeitenden oder Nutzenden;
DoS/DDoS, Stress-Tests, Rate-Limit-Umgehung ohne schriftliche Genehmigung;
Brute-Force, Credential Stuffing, automatisiertes Account-Erstellen;
Exfiltration, Kopieren, Verändern oder Offenlegen fremder Daten, Schlüssel oder Tokens;
Einbringen von Malware, Ransomware, Backdoors oder Mining-Software;
Angriffe auf reale Kryptowährungswerte, fremde Wallets oder Blockchain-Operationen;
Reverse Engineering über das gesetzlich erlaubte Mass hinaus;
Öffentliche Offenlegung oder Verkauf von Schwachstelleninformationen ohne Freigabe.

Kein Freibrief: Diese Teilnahmebedingungen erlauben keine rechtswidrigen Handlungen. Wer den Scope überschreitet oder unzulässige Methoden verwendet, handelt ausserhalb des Programms und kann zivil- und strafrechtlich verantwortlich sein.

§ 7

Verhaltensregeln für Tests und Einreichungen

Teilnehmende müssen in gutem Glauben, verhältnismässig, datensparsam und nicht destruktiv handeln. Verpflichtungen:

Ausschliesslich eigene Accounts, Testdaten, Geräte und Wallets verwenden;
Tests sofort abbrechen bei unbeabsichtigtem Zugriff auf fremde Daten;
Unbeabsichtigt erhaltene Daten weder speichern noch kopieren;
Keine Schwachstelle über den notwendigen PoC hinaus ausnutzen;
Keinen wirtschaftlichen Vorteil aus Schwachstellen ziehen;
Keine Forderungen, Drohungen oder Erpressungsversuche;
Die Betreiberin unverzüglich über sicherheitsrelevante Erkenntnisse informieren.

§ 8

Einreichung von Reports und Improvement Submissions

Einreichungen sind an security@omegaconnect.app oder über das Bug-Bounty-Formular zu senden.

Ein Report muss enthalten: Titel, betroffene Komponente, Schritte zur Reproduktion, technische Beschreibung, PoC/Screenshots und Kontaktdaten.

Eine Improvement Submission muss hinreichend konkret sein und erkennen lassen, welche Verbesserung vorgeschlagen wird und welches Problem sie adressiert. Allgemeine Wünsche oder reine Meinungsäusserungen können unberücksichtigt bleiben.

§ 9

Prüfung, Bewertung, Duplikate und Entscheidungen

Die Betreiberin prüft Einreichungen nach eigenem Ermessen. Keine Prüfungsfrist, Behebungsfrist oder Reaktionszeit wird geschuldet. Bei mehreren Meldungen zum selben Sachverhalt wird grundsätzlich nur die nachweislich erste vollständige Einreichung berücksichtigt.

Duplikate, bereits bekannte Probleme, nicht reproduzierbare Reports, rein theoretische Risiken und ausserhalb des Scopes liegende Einreichungen können ohne Vergütung abgelehnt werden.

§ 10

Bug-Bounty-Vergütung für Sicherheitslücken und Bugs

Bug-Bounty-Vergütungen sind freiwillige Leistungen. Der folgende Rahmen dient als unverbindliche Orientierung:

Kategorie	Betrag	Beispiele
Critical	USD 500–2'000	Seed/Key-Exposure, Auth-Bypass, RCE, E2E-Kompromittierung
High	USD 100–500	Session-Diebstahl, Verschlüsselungsfehler, Privilege Escalation
Medium	USD 25–100	Reproduzierbare Stabilitätsprobleme, XSS/CSRF mit begrenztem Impact
Low	USD 5–25	UI-Fehler, Tippfehler, geringe Konfigurationsrisiken

Die tatsächliche Vergütung kann niedriger, höher oder null betragen.

§ 11

Improvement Programm und USD-30-Implementierungsvergütung

Teilnehmende können Improvement Submissions übermitteln: Feature-Ideen, UI-/UX-Verbesserungen, Onboarding-Verbesserungen, Dokumentationsverbesserungen, Performance- oder Workflow-Ideen, Sicherheitsverbesserungen ohne konkrete Schwachstelle, Produktkonzepte und Designansätze.

Implementierungsvergütung: Für eine qualifizierte Improvement Submission, die von der Betreiberin tatsächlich umgesetzt und als vergütungsfähig anerkannt wird, erhält die nachweislich erstmeldende Person einmalig USD 30 (als USD 30, 30 USDC oder wirtschaftlich gleichwertig).

Eine Improvement Submission ist nur dann qualifiziert, wenn sie:

originär von der teilnehmenden Person stammt;
hinreichend konkret, nachvollziehbar und umsetzungsnah beschrieben ist;
der Betreiberin nicht bereits bekannt, intern geplant oder branchenüblich war;
nicht bloss eine allgemeine Erwartung, Kritik oder triviale Anpassung darstellt;
nicht auf vertraulichen Informationen oder Daten Dritter beruht;
von der Betreiberin ganz oder in wesentlichen Teilen übernommen wird;
von der Betreiberin ausdrücklich als implementiert und vergütungsfähig bestätigt wird.

Die USD-30-Vergütung ist die vollständige und abschliessende Gegenleistung. Weitere Zahlungen, Umsatzbeteiligungen, Lizenzgebühren oder Namensnennungen sind ausgeschlossen.

§ 12

Rechteübertragung, Lizenz und Verzichtserklärungen

Mit der Einreichung überträgt die teilnehmende Person der Betreiberin sämtliche Rechte an der Einreichung — räumlich, zeitlich und inhaltlich unbeschränkt, exklusiv, unwiderruflich, unterlizenzierbar und vergütungsfrei. Die Betreiberin darf Einreichungen ohne Namensnennung, mit Änderungen oder in abgewandelter Form verwenden.

Die teilnehmende Person versichert, zur Einräumung dieser Rechte berechtigt zu sein und keine Rechte Dritter zu verletzen.

§ 13

Vertraulichkeit und Responsible Disclosure

Teilnehmende müssen sämtliche Vertraulichen Informationen streng vertraulich behandeln — insbesondere Sicherheitslücken, Exploit-Details, PoCs, geplante Fixes und nicht veröffentlichte Funktionen.

Veröffentlichung oder Weitergabe ist nur mit vorheriger schriftlicher Freigabe der Betreiberin zulässig. Mindest-Vertraulichkeitsfrist: 90 Tage ab Eingang.

§ 14

Personenbezogene Daten, Geheimnisse und Datensparsamkeit

Teilnehmende dürfen personenbezogene Daten, Kommunikationsinhalte, Wallet-Daten, Schlüsselmaterial oder sonstige sensible Informationen Dritter nicht erheben, speichern, kopieren oder weitergeben. Bei unbeabsichtigtem Kontakt ist der Test sofort abzubrechen und die Betreiberin zu informieren.

Reports sollen personenbezogene Daten nur enthalten, soweit zwingend erforderlich. Screenshots und Logs sind vor Einreichung zu anonymisieren.

§ 15

Safe Harbor

Die Betreiberin beabsichtigt, gegen Teilnehmende, die sämtliche Bedingungen einhalten, ausschliesslich in gutem Glauben handeln, im Scope bleiben und keine Schäden verursachen, keine zivilrechtlichen Ansprüche geltend zu machen.

Der Safe Harbor gilt nicht für Handlungen ausserhalb des Scopes, rechtswidrige Handlungen, Datenschutzverstösse, Erpressung, öffentliche Offenlegung ohne Freigabe, DoS, Datenexfiltration oder sonstige schädliche Aktivitäten.

Der Safe Harbor bindet keine Strafverfolgungsbehörden, Gerichte, Aufsichtsbehörden oder Dritte.

§ 16

Auszahlung, Zahlungswege und Kryptowährungsrisiken

Auszahlungen erfolgen nur nach ausdrücklicher Bestätigung. Die Betreiberin kann Identitäts-, Sanktions- und Compliance-Prüfungen durchführen.

Auszahlungen in USDC erfolgen an eine von der teilnehmenden Person angegebene Wallet-Adresse. Blockchain-Transaktionen sind grundsätzlich endgültig. Fehlüberweisungen gehen zulasten der teilnehmenden Person.

Die Betreiberin kann nach eigenem Ermessen USDC (ERC-20), USD, CHF oder einen anderen Zahlungsweg verwenden. Werden erforderliche Informationen nicht innerhalb von 90 Tagen bereitgestellt, kann der Anspruch als verfallen behandelt werden.

§ 17

Steuern, Abgaben und Meldepflichten

Teilnehmende sind allein verantwortlich für die steuerliche Behandlung und Abführung aller Steuern und Abgaben im Zusammenhang mit Vergütungen aus dem Programm. Die Betreiberin nimmt keine Steuerberatung vor.

§ 18

Ausschluss, Verfall und Rückforderung

Verstösse können zum sofortigen Ausschluss, zur Ablehnung aller Einreichungen, zum Verfall ausstehender Vergütungen und zur Sperrung von Accounts führen. Ausschlussgründe sind insbesondere:

Tests ausserhalb des Scopes oder mit unzulässigen Methoden;
Zugriff auf fremde Daten, Accounts, Schlüssel oder Systeme;
Erpressung, Drohung oder unzulässige Fristsetzung;
Öffentliche Offenlegung ohne Freigabe;
Falsche, irreführende oder plagierte Einreichungen;
Mehrfacheinreichungen unter verschiedenen Identitäten;
Angabe falscher Identitäts- oder Zahlungsinformationen.

Bereits ausgezahlte Vergütungen können zurückgefordert werden bei nachträglichen Verstössen.

§ 19

Haftung, Gewährleistungsausschluss und Freistellung

Die Teilnahme erfolgt auf eigenes Risiko. Das Programm wird «as is» bereitgestellt. Die Haftung für leichte Fahrlässigkeit, indirekte Schäden, Folgeschäden, Datenverlust, Kryptowährungsverluste und Drittanbieterfehler ist ausgeschlossen.

Eine allfällige Haftung ist auf den Betrag der bestätigten Vergütung beschränkt (ohne Bestätigung: max. USD 100).

Teilnehmende stellen die Betreiberin von sämtlichen Ansprüchen Dritter frei, die aus Einreichungen, Rechtsverletzungen oder Verstössen entstehen.

§ 20

Änderungen, Aussetzung und Beendigung

Die Betreiberin kann das Programm, den Scope, Vergütungsrahmen und diese Teilnahmebedingungen jederzeit ändern, aussetzen oder beenden. Für bereits bestätigte, aber noch nicht ausgezahlte Vergütungen gelten die Bedingungen zum Zeitpunkt der Bestätigung.

§ 21

Anwendbares Recht und Gerichtsstand

Es gilt ausschliesslich schweizerisches Recht unter Ausschluss des UN-Kaufrechts (CISG) und kollisionsrechtlicher Verweisungsnormen.

Ausschliesslicher Gerichtsstand ist Zug, Schweiz. Zwingende Konsumentengerichtsstände bleiben vorbehalten.

§ 22

Schlussbestimmungen

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Rechte und Pflichten dürfen ohne Zustimmung der Betreiberin nicht übertragen werden.

Bestimmungen, die ihrer Natur nach über das Ende der Teilnahme hinaus fortgelten, bleiben bestehen — insbesondere Rechteübertragung, Vertraulichkeit, Datenschutz, Haftung, Freistellung, Recht und Gerichtsstand.

Verbindlich ist ausschliesslich die deutsche Fassung. Übersetzungen dienen nur der Information.

Stand: Mai 2026 · Frühere Fassungen werden auf Anfrage zur Verfügung gestellt.