Rahmenbedingungen und Regeln

Die Entdeckung und Meldung von Schwachstellen kann zivil- und strafrechtliche Folgen haben. Die damit verbundenen Risiken können reduziert werden, wenn Sie folgende Regeln beachten:

Melden einer Schwachstelle
(Coordinated Vulnerability Disclosure, CVD):

  • Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem Systemeigner oder dem BACS.
  • Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben, oder Sie sich mit allen Beteiligten inkl. dem BACS geeinigt haben.
  • Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
  • Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
  • Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
  • Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
  • Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
  • Verwenden Sie keine Denial-of-Service-Angriffe.
  • Installieren Sie keine Malware oder Viren.
  • Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
  • Teilen Sie dem BACS mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).

Was Sie von unserem CVD-Programm erwarten können:

  • Wenn eine Schwachstelle in Bezug auf die Systeme des Bundes innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das BACS keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
  • Sie können Ihre Meldung anonym einreichen.
  • Das BACS behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
  • Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
  • Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Das BACS wird die Meldung innerhalb von 5 Arbeitstagen triagieren.
  • Bei Schwachstellen, die den Bund betreffen, ist das BACS bestrebt innerhalb von 60 Tagen nach der Meldung die Lösungsfindung zu koordinieren.
  • Je nach betroffener Organisation und Art der Schwachstelle wird das BACS die betroffene Organisation auf die Sicherheitslücke aufmerksam machen. Für das betroffene IT-System und allfällige Abhilfemassnahmen bleibt aber der Systemeigner zuständig.
  • Das BACS wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
  • Im Falle einer Veröffentlichung der Schwachstelle koordiniert das BACS das Vorgehen mit allen beteiligten Parteien.
  • Das CVD-Programm des BACS bietet derzeit keine Entschädigung für Meldungen an.

Letzte Änderung 01.01.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/scope-and-rules.html