Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD)

Haben Sie eine Schwachstelle in einem IT-System oder in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt? Die goldene Regel ist, den Anbieter oder den Systemeigner direkt zu informieren. Wenn diese Organisationen nicht oder unzureichend reagieren, kann das NCSC bei der Lösung solcher Sicherheitsprobleme als Vermittler fungieren.

Es gibt verschiedene Möglichkeiten, eine Schwachstelle zu melden.

Schwachstellen in den Systemen des Bundes

Wenn Sie eine technische Schwachstelle in IT-Systemen, Anwendungen oder Hardware des Bundes entdeckt haben, melden Se diese dem NCSC mit dem untenstehenden Formular. Für eine konforme Meldung befolgen Sie bitte unsere allgemeine CVD-Richtlinie.

Allgemeine Schwachstellen

Wenn Sie eine Schwachstelle in IT-Systemen oder Produkten gefunden haben, die nicht dem Bund gehören, aber die einen Bezug zur Schweiz haben, ist die Schwachstelle immer zuerst dem Systemeigner oder dem Produktlieferanten zu melden. Melden Sie Ihre Feststellungen nur dann dem NCSC, wenn diese Organisation keine angemessene Antwort auf die Schwachstelle liefert. In diesem Fall wird das NCSC als Vermittler fungieren und die betroffene Organisation erneut auf die Schwachstelle aufmerksam machen.

Veröffentlichung von Schwachstellen (CVE)

Wenn Sie eine Schwachstelle in von Schweizer Unternehmen benutzten Anwendungen, Software oder Hardware gefunden haben, kann das NCSC - in seiner Funktion als CVE-Fachstelle (CNA) – die Veröffentlichung der CVE koordinieren.

So reichen Sie eine CVD-Meldung bei uns ein:

  • Füllen sie das untenstehende Formular mit den Details Ihrer Entdeckung aus. Fügen Sie Ihren öffentlichen PGP-Schlüssel bei, damit das NCSC eine sofortige und sichere Kommunikation mit Ihnen gewährleisten kann.
  • Geben Sie so viele Informationen wie möglich an, damit die Schwachstelle reproduziert werden kann. Damit kann der Prozess beschleunigt werden.
  • Bei komplexeren Schwachstellen wird möglicherweise ein direkter Austausch mit Ihnen benötigt. Geben Sie uns mindestens eine E-Mail-Adresse oder Telefonnummer an.
  • Für verschlüsselte Kommunikation verwenden Sie den PGP-Schlüssel von vulnerability [at] ncsc.ch.

PGP Key - vulnerability [at] ncsc.ch (ASC, 3 kB, 01.10.2021)Fingerprint:
F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898


Melden von Schwachstellen

*
Kurze Beschreibung der Schwachstelle (max. 250 Zeichen).
 
Der Schweregrad kann mittels https://www.first.org/cvss/calculator/3.0 berechnet werden.
*
Beschreiben Sie Ihre Entdeckung so detailliert wie möglich, um uns zu ermöglichen, das Problem zu reproduzieren.
 
Beschreiben Sie die Auswirkung Ihrer Entdeckung. Was ist betroffen?
 
Wenn vorhanden, kann hier ein Lösungsansatz beschrieben werden.
 
Verwenden Sie für die Dokumentation ASCII Text- (z.B. Markdown), pdf- oder png-Dateien.
*

Persönliche Informationen (optional)

Sie können hier Ihre persönlichen Informationen angeben. Dies ermöglicht uns mit Ihnen in Kontakt zu treten, falls wir zu Ihrer Anmerkung noch Fragen haben.

 
 
 
 
Hier können Sie Ihren öffentlichen PGP-Schlüssel anhängen. Hinweis: Kopieren Sie den PGP-Schlüssel in eine Textdatei mit der Endung .txt.
 


Letzte Änderung 02.09.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html