Rahmenbedingungen und Regeln

Die Entdeckung und Meldung von Schwachstellen kann zivil- und strafrechtliche Folgen haben. Die damit verbundenen Risiken können reduziert werden, wenn Sie folgende Regeln beachten:

Melden einer Schwachstelle
(Coordinated Vulnerability Disclosure, CVD):

• Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem Systemeigner oder dem BACS.
• Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben, oder Sie sich mit allen Beteiligten inkl. dem BACS geeinigt haben.
• Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
• Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
• Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
• Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
• Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
• Verwenden Sie keine Denial-of-Service-Angriffe.
• Installieren Sie keine Malware oder Viren.
• Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
• Teilen Sie dem BACS mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).
  

Was Sie von unserem CVD-Programm erwarten können:

• Wenn eine Schwachstelle in Bezug auf die Systeme des Bundes innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das BACS keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
• Sie können Ihre Meldung anonym einreichen.
• Das BACS behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
• Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
• Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Das BACS wird die Meldung innerhalb von 5 Arbeitstagen triagieren.
• Bei Schwachstellen, die den Bund betreffen, ist das BACS bestrebt innerhalb von 60 Tagen nach der Meldung die Lösungsfindung zu koordinieren.
• Je nach betroffener Organisation und Art der Schwachstelle wird das BACS die betroffene Organisation auf die Sicherheitslücke aufmerksam machen. Für das betroffene IT-System und allfällige Abhilfemassnahmen bleibt aber der Systemeigner zuständig.
• Das BACS wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
• Im Falle einer Veröffentlichung der Schwachstelle koordiniert das BACS das Vorgehen mit allen beteiligten Parteien.
• Das CVD-Programm des BACS bietet derzeit keine Entschädigung für Meldungen an.