Melden einer Schwachstelle (Coordinated vulnerability disclosure, CVD)

Schwachstellen im «Covid Zertifikat»

Benutzen Sie für Schwachstellen im Covid Zertifikat unser spezielles Meldeformular.

Schwachstellen im «SwissCovid Proximity Tracing System»

Benutzen Sie für Schwachstellen im «SwissCovid Proximity Tracing System» unser spezielles Meldeformular.

Allgemeine Schwachstellen

Haben Sie eine Schwachstelle in IT-Systemen der Schweizer Regierung oder in kritischen Infrastruktur-Systemen entdeckt? Oder haben Sie eine Schwachstelle in kommerziell erhältlichen Anwendungen, Software oder Hardware entdeckt? Die goldene Regel ist, den Verkäufer oder Systembesitzer direkt zu informieren. Wenn diese Organisationen jedoch nicht auf Sie reagieren oder ihre Antwort unzureichend ist, kann das Nationale Zemtrum für Cybersicherheit (ncsc.ch) als Vermittler agieren, um solche Sicherheitsprobleme zu lösen. Sie können uns die Informationen über diese Coordinated Vulnerability Disclosure (CVD)-Plattform zur Verfügung stellen.

Wie können Sie eine CVD-Meldung bei uns einreichen?

  • Füllen Sie das untenstehende Formular mit den Details Ihrer Entdeckung aus. Fügen Sie Ihren öffentlichen PGP-Schlüssel bei, damit wir eine sofortige und sichere Kommunikation mit NCSC.ch gewährleisten können.
  • Geben Sie so viele Informationen wie möglich an, um die Reproduzierbarkeit der Schwachstelle zu gewährleisten. Dies dient der Beschleunigung des Problemlösungsprozesses.
  • Für komplexere Schwachstellen werden wir wahrscheinlich einen direkten Austausch mit Ihnen benötigen. Geben Sie uns mindestens eine E-Mail-Adresse oder Telefonnummer an. 
  • Sie können den PGP-Schlüssel von vulnerability [at] ncsc.ch verwenden.

PGP Key - vulnerability [at] ncsc.ch (ASC, 3 kB, 07.06.2021)Fingerprint:
85CF EF1B 517B A4A4 B161 6953 B0BC 0026 B7E3 7415


Melden von Testergebnissen

*
Kurze Beschreibung der Schwachstelle (max. 250 Zeichen).
 
Beschreibung Schweregrad siehe unten auf dieser Seite.
*
Beschreiben Sie Ihre Entdeckung so detailliert wie möglich, um uns zu ermöglichen, das Problem zu reproduzieren.
 
Beschreiben Sie die Auswirkung Ihrer Entdeckung. Was ist betroffen?
 
Wenn vorhanden, kann hier ein Lösungsansatz beschrieben werden.
 
Verwenden Sie für die Dokumentation ASCII Text- (z.B. Markdown), pdf- oder png-Dateien.
*

Persönliche Informationen (optional)

Sie können hier Ihre persönlichen Informationen angeben. Dies ermöglicht uns mit Ihnen in Kontakt zu treten, falls wir zu Ihrer Anmerkung noch Fragen haben.

 
 
 
 
Hier können Sie Ihren öffentlichen PGP-Schlüssel anhängen.
 


Definition Schweregrad 

Der Schweregrad kann mittels "Common Vulnerability Scoring System" (CVSS) bestimmt werden. Die Webseite des Forums of Incident Response and Security Teams stellt hierzu ein interaktives Werkzeug zur Verfügung: https://www.first.org/cvss/calculator/3.0

Critical (CVSS v3 Score: 9.0-10.0): Bei kritischen Ereignissen ist typischerweise keine Interaktion seitens Zielperson notwendig. Entsprechend benötigt ein Angreifer keine besonderen Kenntnisse über eine Zielperson. Typisch für ein kritisches Ereignis ist eine Remote Code Execution. Auswirkungen sind beispielsweise der Abfluss persönlicher Daten oder der Verlust der Anonymität.

High (CVSS v3 Score 7.0-8.9): Für eine erfolgreiche Ausnutzung sind Benutzeraktionen (Social Engineering) notwendig. Der Angreifer kann so zu erweiterten Privilegien gelangen. Auswirkungen können auch hier Datenabflüsse sein.

Medium (CVSS v3 Score: 4.0-6.9): Bei einer Ausnutzung wird nur eingeschränkter Zugang gewährt. Zudem muss der Angreifer sich im gleichen System des Opfers befinden. Daten sind nicht oder nur bedingt betroffen.

Low (CVSS v3 Score: 0.1-3.9): Der Effekt wirkt sich nicht auf die Funktionalität oder die Daten aus. Unter diese Kategorie fallen auch Layout-Fehler und Rechtschreibfehler.

 
 

Letzte Änderung 14.09.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html