IT-Sicherheitsvorfall – Schwachstellen melden

Schwachstellen von IT-Produkten, -Systemen oder -Dienstleistungen

Wer auf Seiten der Bundesverwaltung IT-Produkte, -Systeme oder -Dienstleistungen mit Schwachstellen entdeckt, kann diese dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, melden. Handelt es sich um Schwachstellen von IT-Produkten, -Systemen oder -Dienstleistungen von außerhalb der Bundesverwaltung angesiedelten Verantwortlichen oder Herstellern, sollte man sich zuerst an diese wenden. Reagieren diese jedoch nicht auf die Meldung der Schwachstelle oder ist abzusehen, dass das Verfahren nicht bis zum Ende durchgeführt wird, kann das BSI ebenfalls eingebunden werden. Allerdings erwartet das BSI, dass folgende Voraussetzung erfüllt ist:

CVD-Richtlinie

Bei der Schwachstellenmeldung sollte man sich an die Coordinated Vulnerability Disclosure-Richtlinie, kurz CVD-Richtlinie des BSI halten. Diese CVD-Richtlinie gibt einen strukturierten Rahmen für die Offenlegung von Lücken im Bereich IT-Sicherheit vor. Sie soll genutzt werden, damit IT-Produkte, -Systeme oder -Dienste verantwortungsbewusst und sicher gemeldet, Schwachstellen bewertet und behoben werden können. Ziele der Richtlinie sind die Optimierung der IT-Sicherheit sowie die Vermeidung von weiteren Schäden. Wird die CVD-Richtlinie genutzt, können Schwachstellenmeldungen leichter vom BSI übernommen werden.

Weitere Erwartungen des BSI

  • Die gemeldete Schwachstelle soll nicht für weitere Schäden missbraucht worden sein.
  • Es sollen keine IT-Infrastrukturen oder -Systeme angegriffen worden sein.
  • Daten und Systeme von Dritten sollen nicht verändert, kompromittiert oder manipuliert worden sein.
  • Die Schwachstelle soll nicht mithilfe von Tools ausgenutzt worden sein, wie sie beispielsweise im Darknet angeboten werden, um Straftaten zu begehen.
  • Schwachstellenmeldungen, die auf der Basis eines automatisierten Scans oder Tools ohne eine erklärende Doku erstellt wurden, sind nicht gültig.
  • Es soll sich bei der Meldung einer Schwachstelle um bislang unbekannte Infos handeln.
  • Es sollten gültige Kontaktdaten – etwa eine E-Mail-Adresse – angegeben werden, um Rückfragen stellen zu können.
  • Anonyme Meldungen können, weil Rückfragen nicht möglich sind, nicht oder lediglich eingeschränkt bearbeitet werden.


Zusagen des BSI

Der BSI versichert allen, die Schwachstellen melden:

  • Vertraulichkeit im Rahmen der gesetzlichen Vorgaben.
  • Weitergaben personenbezogener Daten nur nach ausdrücklicher Zustimmung.
  • Zu allen Schwachstellenmeldungen wird ein Feedback gegeben.
  • Strafrechtliche Schritte gegen den Melder werden ausgeschlossen, wenn dieser die Grundsätze und Richtlinien eingehalten hat. Eine Ausnahme davon wird allerdings gemacht, wenn erkennbar ist, dass eine kriminelle Intention verfolgt wurde.
  • Der BSI bleibt während des kompletten Prozesses Ansprechpartner.
  • Ist der CVD-Prozesses beendet, wird auf Wunsch des Melders dessen Name samt einer Referenz vom BSI online veröffentlicht.


Schwachstelle gefunden?

Dann helfen wir Ihnen sehr gern bei der Meldung! Rufen Sie uns einfach an: Telefon 09122 6937302. Oder senden Sie uns Ihre Nachricht. Wir melden uns so schnell wie möglich bei Ihnen!

Ihr Team von Datenschutz Prinz


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Plötzlich ohne ISB? So handeln Unternehmen der kri...
Auftragsverarbeitung - der Auftragsverarbeiter

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.