Rahmenbedingungen und Regeln

Melden einer Schwachstelle
(Coordinated Vulnerability Disclosure, CVD):

  • Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem Systemeigner oder dem NCSC.
  • Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben, oder Sie sich mit allen Beteiligten inkl. dem NCSC geeinigt haben.
  • Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
  • Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
  • Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
  • Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
  • Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
  • Verwenden Sie keine Denial-of-Service-Angriffe.
  • Installieren Sie keine Malware oder Viren.
  • Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
  • Teilen Sie dem NCSC mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).

Was Sie von unserem CVD-Programm erwarten können:

  • Wenn eine Schwachstelle in Bezug auf die Systeme des Bundes innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das NCSC keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
  • Sie können Ihre Meldung anonym einreichen.
  • Das NCSC behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
  • Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
  • Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Das NCSC wird die Meldung innerhalb von 5 Arbeitstagen triagieren.
  • Bei Schwachstellen, die den Bund betreffen, ist das NCSC bestrebt innerhalb von 60 Tagen nach der Meldung die Lösungsfindung zu koordinieren.
  • Je nach betroffener Organisation und Art der Schwachstelle wird das NCSC die betroffene Organisation auf die Sicherheitslücke aufmerksam machen. Für das betroffene IT-System und allfällige Abhilfemassnahmen bleibt aber der Systemeigner zuständig.
  • Das NCSC wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
  • Im Falle einer Veröffentlichtung der Schwachstelle koordiniert das NCSC das Vorgehen mit allen beteiligten Parteien.
  • Das CVD-Programm des NCSC bietet derzeit keine Entschädigung für Meldungen an.

Letzte Änderung 01.07.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden/scope-and-rules.html