Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD)

Haben Sie eine Schwachstelle in einem IT-System oder in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt? Die goldene Regel ist, den Anbieter oder den Systemeigner direkt zu informieren. Wenn diese Organisationen nicht oder unzureichend reagieren, kann das BACS bei der Lösung solcher Sicherheitsprobleme als Vermittler fungieren.

Es gibt verschiedene Möglichkeiten, eine Schwachstelle zu melden.

Wenn Sie eine technische Schwachstelle in IT-Systemen, Anwendungen oder Hardware des Bundes entdeckt haben, melden Se diese dem BACS mit dem untenstehenden Formular. Für eine konforme Meldung befolgen Sie bitte unsere allgemeine CVD-Richtlinie.

Wenn Sie eine Schwachstelle in IT-Systemen oder Produkten gefunden haben, die nicht dem Bund gehören, aber die einen Bezug zur Schweiz haben, ist die Schwachstelle immer zuerst dem Systemeigner oder dem Produktlieferanten zu melden. Melden Sie Ihre Feststellungen nur dann dem BACS, wenn diese Organisation keine angemessene Antwort auf die Schwachstelle liefert. In diesem Fall wird das BACS als Vermittler fungieren und die betroffene Organisation erneut auf die Schwachstelle aufmerksam machen.

Wenn Sie eine Schwachstelle in von Schweizer Unternehmen benutzten Anwendungen, Software oder Hardware gefunden haben, kann das BACS- in seiner Funktion als CVE-Fachstelle (CNA) – die Veröffentlichung der CVE koordinieren.

Wichtiger Hinweis zu den Kriterien für einen CVE:

Um eine schnelle Bearbeitung Ihres CVE-Antrags zu gewährleisten, stellen Sie sicher, dass Sie eine öffentliche Referenz gemäss den Anforderungen von MITRE planen. Dieser öffentliche Verweis muss mindestens

• die Schwachstelle erwähnen (mindestens die CVE-Nummer + die betroffenen Versionen);
• über das Internet zugänglich sein.

Sie können den CVE-Prozess beschleunigen, indem Sie einen Entwurf im «Vulnogram» erstellen und die resultierende JSON-Datei in Ihren Antrag einfügen.

Wenn die gemeldete Sicherheitslücke einen Cloud-Service betrifft, vergewissern Sie sich, dass sie die Anforderung 7.4.4 der Zuweisungsregeln erfüllt: «The vulnerability requires customer or peer action to resolve».

• Füllen sie das untenstehende Formular mit den Details Ihrer Entdeckung aus. Fügen Sie Ihren öffentlichen PGP-Schlüssel bei, damit das BACS eine sofortige und sichere Kommunikation mit Ihnen gewährleisten kann.
• Geben Sie so viele Informationen wie möglich an, damit die Schwachstelle reproduziert werden kann. Damit kann der Prozess beschleunigt werden.
• Bei komplexeren Schwachstellen wird möglicherweise ein direkter Austausch mit Ihnen benötigt. Geben Sie uns mindestens eine E-Mail-Adresse oder Telefonnummer an.
• Für verschlüsselte Kommunikation verwenden Sie den PGP-Schlüssel von vulnerability [at] ncsc.ch.