Vulnerability Disclosure Management

Rahmenbedingungen und Regeln

Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD)

  • Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem NCSC und der BFH.
  • Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben, oder Sie sich mit allen Beteiligten inkl. der BFH geeinigt haben.
  • Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
  • Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
  • Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
  • Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
  • Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
  • Verwenden Sie keine Denial-of-Service-Angriffe.
  • Installieren Sie keine Malware oder Viren.
  • Geben Sie, wenn möglich, in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
  • Teilen Sie der BFH mit, falls Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.)

Was Sie von der BFH im Rahmen des CVD erwarten können

  • Wenn eine Schwachstelle in Bezug auf die Systeme der BFH innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird die BFH keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
  • Sie können Ihre Meldung anonym einreichen.
  • Die BFH behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
  • Wir werden Sie nur mit Ihrer Zustimmung namentlich als die meldende Person einer Schwachstelle nennen.
  • Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Die BFH wird die Meldung innerhalb von 2 Arbeitswochen validieren.
  • Die BFH wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
  • Im Falle einer Veröffentlichung der Schwachstelle koordiniert die BFH das Vorgehen mit allen beteiligten Parteien.
  • Das CVD-Programm der BFH bietet derzeit keine Entschädigung für Meldungen an.

PGP

  • KeyID: 0x99ACA09463FBB5B9
  • Fingerprint: 7156 83C8 E127 E90F 1067 7BAA 99AC A094 63FB B5B9

SMIME

  • Fingerprint(sha256): FA:B9:18:A2:21:07:2C:58:35:4B:FD:DF:B5:29:3B:68:3E:FA:A1:24:14:C0:70:FC:49:62:4D:5C:EA:3A:21:92