Das CERT-Bund nimmt im Rahmen seines CVD-Prozesses mit Produktverantwortlichen bzw. Herstellern Kontakt auf, um dem BSI/CERT-Bund gemeldete Schwachstelle die ein IT-Produkt, IT-System oder Webanwendung Ihres Unternehmens betrifft zu beheben.

Sollten Sie sich nicht sicher sein, können Sie die offizielle Erreichbarkeit des BSI kontaktieren und um eine Vermittlung/Klärung bitten.

Sollten Sie als Unternehmen keinen erkennbaren IT-Sicherheitskontakt auf Ihrer Webseite veröffentlicht haben, versucht das BSI über die Kontaktwege mit Ihnen in einen Austausch zu treten, welche ansonsten zur Verfügung stehen. Diese stellen für E-Mail bspw. Datenschutz oder Info@ E-Mail Adressen dar. Wir empfehlen Unternehmen dringend security.txt (RFC9116) bereitzustellen und einen dedizierten IT-Sicherheitskontakt auf der eigenen Firmenwebseite anzubieten. Weitere Informationen finden Sie in den Publikationen des BSI z.B. unter https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_019.pdf.

Grundsätzlich sollten Sie nach Erhalt der Schwachstellenmeldung diese an die verantwortliche Stelle in Ihrem Unternehmen weiterleiten und anschließend den Erhalt der Schwachstellenmeldung gegenüber dem BSI/CERT-Bund innerhalb von drei Werktagen (via Telefon oder E-Mail) bestätigen. Anschließend können Sie an einer Bearbeitung/Behebung der Schwachstelle arbeiten. Bei der Behebung und Erstellung von Patches/Mitigationsmaßnahmen sollten Sie immer auch das möglicherweise festgelegte Veröffentlichungsdatum achten. Sollte eine Frist seitens des Sicherheitsforschenden festgelegt werden, wird das BSI Sie hierüber im Rahmen seiner Meldung informieren. Wichtig ist, dass Sie während des gesamten Prozesses Kommunikation zeitnah bestätigen und alle Beteiligten informiert halten. Am Ende des Prozesses steht in der Regel die Publikation eines Security Advisories. Hierfür empfiehlt das BSI die Nutzung des CSAF-Standards mit dem Profil „Security Advisory“.

Das Common Security Advisory Framework (CSAF) adressiert zwei Problem von Security Advisories: Zum einen spezifiziert es, wie Security Advisories gefunden werden können. Zum anderen spezifiziert es die Struktur und das Format für Security Advisories. Damit können Anwender diese leichter auffinden und auswerten. Darüber hinaus lässt sich aus einem CSAF Dokument trivial ein menschenlesbares Advisory erzeugen. Zur Erstellung können beispielsweise Online-Tools wie Secvisogram genutzt werden.

Eine der größten Herausforderungen im CVD-Prozess ist die Identifizierung des richtigen Ansprechpartners. Hier kann das Unternehmen Sicherheitsforschende und koordinierende Stellen proaktiv unterstützen, indem es seine entsprechenden Kontaktdaten gemäß dem RFC 9116 bereitstellt.

Das BSI empfiehlt die Nutzung von Funktionspostfächern. Dabei soll eine Unterscheidung zwischen dem Team für Schwachstellen in der Infrastruktur (z. B. eine Cross-Site-Scripting (XSS)-Schwachstelle im Webauftritt des Unternehmens) und dem Team für Schwachstellen in Produkten (z. B. Remote Code Execution (RCE) in einem Produkt, dass das Unternehmen vertreibt/herstellt) stattfinden. Während für erstere nach RFC 2142 auch die Adresse „security@domain.tld“ oder „cert@domain.tld“ verwendet werden kann, sollte für die Produkte eine eigene Adresse, beispielsweise „productsecurity@domain.tld“ oder „psirt@domain.tld“ verwendet werden. Für alle angegebenen Adressen sollte je ein OpenPGP-Schlüssel angegeben werden, um eine verschlüsselte Kommunikation zu ermöglichen.

Nein. Der offene Umgang mit Schwachstellen stellt vielmehr ein Qualitätsmerkmal dar. Es ist allgemein bekannt, dass immer wieder Schwachstellen in Produkten gefunden werden. Entscheidend ist der Umgang damit. Nur wenn Security Advisories veröffentlicht werden, können Anwendende mit diesen Informationen eine Risikobewertung für den eigenen Anwendungsfall vornehmen. Somit schützen Sie Ihre Kundinnen und Kunden zusätzlich durch die Bereitstellung dieser Informationen.

Ja. Zur Identifizierung von verwundbaren Komponenten ist es von Vorteil, die Betroffenheit aller Produkte ermitteln zu können. Es kann bspw. vorkommen, dass eine Schwachstelle nur für Produkt X gemeldet wurde, auf Grund der verwendeten Komponenten jedoch auch Produkt Y von der Schwachstelle betroffen sein kann. Um eine solche Betroffenheit ausschließen zu können ist die Verwendung von SBOM hilfreich.

Eine offene und freundliche Kommunikation, sowie eine Begründung wie diese Einschätzung erlangt wurde ist äußerst wichtig. Hierfür bietet sich auch eine Telefonkonferenz mit allen involvierten Parteien an, auch um direkte Nachfragen klären zu können.