Die Entdeckung und Meldung von Schwachstellen kann zivil- und strafrechtliche Folgen haben. Die damit verbundenen Risiken können reduziert werden, wenn Sie folgende Regeln beachten:
Melden einer Schwachstelle
(Coordinated Vulnerability Disclosure, CVD):
- Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem Systemeigner oder dem BACS.
- Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben, oder Sie sich mit allen Beteiligten inkl. dem BACS geeinigt haben.
- Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
- Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
- Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
- Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
- Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
- Verwenden Sie keine Denial-of-Service-Angriffe.
- Installieren Sie keine Malware oder Viren.
- Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
- Teilen Sie dem BACS mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).
Was Sie von unserem CVD-Programm erwarten können:
- Wenn eine Schwachstelle in Bezug auf die Systeme des Bundes innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das BACS keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
- Sie können Ihre Meldung anonym einreichen.
- Das BACS behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
- Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
- Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Das BACS wird die Meldung innerhalb von 5 Arbeitstagen triagieren.
- Bei Schwachstellen, die den Bund betreffen, ist das BACS bestrebt innerhalb von 60 Tagen nach der Meldung die Lösungsfindung zu koordinieren.
- Je nach betroffener Organisation und Art der Schwachstelle wird das BACS die betroffene Organisation auf die Sicherheitslücke aufmerksam machen. Für das betroffene IT-System und allfällige Abhilfemassnahmen bleibt aber der Systemeigner zuständig.
- Das BACS wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
- Im Falle einer Veröffentlichung der Schwachstelle koordiniert das BACS das Vorgehen mit allen beteiligten Parteien.
- Das CVD-Programm des BACS bietet derzeit keine Entschädigung für Meldungen an.
Letzte Änderung 01.01.2024