Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD)

Haben Sie eine Schwachstelle in einem IT-System oder in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt und möchten diese melden? Es gibt verschiedene Möglichkeiten, eine Schwachstelle zu melden.

Wenn die Schwachstelle ein IT-System, eine Anwendung oder Hardware der Bundesverwaltung betrifft, können Sie diese dem BACS mit dem untenstehenden Formular melden. Bitte beachten Sie unsere allgemeine CVD-Richtlinie.

Wenn Sie eine Schwachstelle in einem IT-System oder -Produkt gefunden haben, das nicht zur Bundesverwaltung gehört, aber einen Bezug zur Schweiz hat, ist die Schwachstelle immer zuerst dem Systemeigner oder dem Produktlieferanten zu melden. Melden Sie Ihre Feststellungen nur dann dem BACS, wenn Sie keine Kontaktperson ausfindig machen können oder wenn die betroffene Partei keine angemessene Rückmeldung auf die Schwachstelle liefert.
In diesem Fall wird das BACS als Vermittler agieren und die betroffene Organisation erneut auf die Schwachstelle aufmerksam machen, damit die Schwachstelle behoben wird.

Wenn Sie eine Schwachstelle in von Schweizer Unternehmen benutzten Anwendungen, Software oder Hardware gefunden haben, kann das BACS – in seiner Rolle als CVE-Fachstelle (CNA) – die Veröffentlichung der entsprechenden CVE koordinieren.

Wichtiger Hinweis zu den Anforderungen für einen CVE:

Um eine effiziente Bearbeitung Ihres CVE-Antrags zu gewährleisten, stellen Sie sicher, dass eine öffentliche Referenz publiziert ist oder dass Sie oder der Hersteller die Publikation einer solchen gemäss den Anforderungen von MITRE planen. Dieser öffentliche Verweis muss mindestens

• die Schwachstelle erwähnen (mindestens die CVE-Nummer + die betroffenen Versionen)
• über das Internet öffentlich zugänglich sein und keine Registrierung oder Anmeldung erfordern

Gemäss dem Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) kann das NCSC Informationen zu Schwachstellen unter Angabe der betroffenen Hard- oder Software veröffentlichen, sofern die Herstellerin einwilligt oder die Schwachstelle nicht innert der Frist nach Artikel 73b Absatz 3 behoben hat. Diese Informationen könnten allenfalls auch als öffentliche Referenz verwendet werden.

Um den CVE-Prozess zu beschleunigen, erstellen Sie bitte einen CVE-Entwurf in «Vulnogram», exportieren Sie ihn als JSON und fügen Sie die resultierende JSON-Datei in Ihren Antrag ein.

Wenn die gemeldete Sicherheitslücke einen Cloud-Dienst betrifft, stellen Sie vorgängig sicher, dass sie die Anforderung 7.4.4 der Zuweisungsregeln erfüllt: «The vulnerability requires customer or peer action to resolve».

• Füllen Sie das untenstehende Formular mit allen zur Verfügung stehenden Details zur Schwachstelle aus. Bitte fügen Sie Ihren öffentlichen PGP-Schlüssel hinzu, damit das BACS einen zeitnahen und sicheren Informationsaustausch mit Ihnen gewährleisten kann.
• Für Schwachstellen, die nicht die Bundesverwaltung betreffen, bestätigen Sie, dass Sie vorgängig versucht haben, mit den betroffenen Parteien in Kontakt zu treten. Dokumentieren Sie die Kontaktversuche in den entsprechenden Feldern.
• Geben Sie an, ob Ihre Anfrage eine CVE-Veröffentlichung betrifft. Falls ja, fügen den CVE-Entwurf bei und teilen Sie uns mit, ob die Veröffentlichung einer Referenz bereits erfolgt oder geplant ist (siehe «Wichtiger Hinweis zu den Anforderungen für einen CVE» weiter oben).
• Stellen Sie dem BACS so viele Informationen wie möglich zur Verfügung, damit die Schwachstelle reproduziert oder zumindest die Gültigkeit anhand Ihres Berichts bewertet werden kann.
• Bei Rückfragen setzt sich das BACS direkt mit Ihnen in Verbindung. Bitte teilen Sie uns deshalb mindestens eine E-Mail-Adresse mit (Sie können bei Bedarf weiterhin anonym mit uns kommunizieren).
• Für eine verschlüsselte Kommunikation verwenden Sie den PGP-Schlüssel von vulnerability [at] ncsc.ch.