Die Fehlkonfiguration eines IT-Systems stellt nicht zwangsläufig eine Schwachstelle im Sinne des CVD -Verfahrens dar und führt daher nicht zur Einleitung eines CVD-Verfahrens. Ein Beispiel für eine Fehlkonfiguration eines IT-Systems, welches keine Schwachstelle im Sinne des CVD-Verfahrens darstellt, ist z.B. eine Fehlkonfiguration des Webservers, die die Auflistung von Verzeichnissen erlaubt.
Wenn Beispielsweise aus dem Internet die URL https://intern.behörde.bund[.]de/Ressourcen aufgerufen werden kann, so handelt es sich dabei um einen fehlkonfigurierten Webserver und/oder DNS-Eintrag. Eine Schwachstelle in dem System/der Webanwendung wurde nicht ausgenutzt bzw. wurde nicht benötigt, um die Ressourcen aufrufen zu können.
Ein CVD-Verfahren würde eingeleitet werden, wenn zum Aufruf der internen Ressourcen bspw. ein Cross-Site-Request-Forgery (CSRF) auf der Webanwendung ausgenutzt wurde. Bei einem solchen Verfahren liegt eine Software-Schwachstelle in der Webanwendung vor, weshalb die Meldung sich für eine Bearbeitung im CVD-Verfahren qualifizieren kann.
Warum die Frage nach dem verfügbaren Patch?
Im Sinne des CVD-Prozesse handelt es sich bei Schwachstellenmeldung um bisher nicht bekannte Informationen. Zu bereits behobenen Schwachstellen (zu denen Patches oder Mitigationsmaßnahmen existieren) werden Ihre Informationen zwar entgegengenommen, geprüft und an die zuständige Stelle weitergegeben, sie qualifizieren sich jedoch nicht für eine weiterführende Bearbeitung im Rahmen des CVD-Prozesses.
Warum die Frage nach einem öffentlichen PoC?
Im Sinne des CVD-Prozesse handelt es sich bei Schwachstellenmeldung um bisher nicht bekannte Informationen. Schwachstellen welche durch bereits öffentliche PoCs ausgenutzt werden können, sind bereits (vollumfänglich) veröffentlicht worden und können nicht mehr im Sinne des koordinierten Schwachstellenprozesses an den Hersteller/Produktverantwortlichen weitergeleitet werden.
Wenn Hersteller bzw. Produktverantwortliche nicht auf Ihre Schwachstellenmeldung reagieren oder der Abbruch des CVD-Verfahrens droht, können Sicherheitsforschende sich an das BSI wenden (siehe Frage „Warum der CVD-Prozess des BSI?“).
Schwachstellen, die Produkte bzw. Webanwendungen des Bundes betreffen, können und sollen dem BSI gemeldet werden. Als die nationale Cyber-Sicherheitsbehörde des Bundes werden die gemeldeten Schwachstellen nach dem CVD-Prozess bearbeitet, an die zuständigen Hersteller bzw. Produktverantwortlichen weitergeben und eine Behebung der Schwachstellen angestrebt.
Der CVD-Prozess des BSI bietet Sicherheitsforschenden die Möglichkeit bei zu scheitern drohenden CVD-Prozessen mit Herstellern, das BSI als vermittelnde Partei einzubeziehen. Dadurch kann das BSI zu einer Deeskalation zwischen Herstellern und Sicherheitsforschenden mit dem Ziel, Schwachstellen schnellstmöglich zu beheben beitragen. Darüber hinaus kann das BSI Kontakte zu Herstellern vermitteln und in seiner Funktion als Koordinator unerfahrene Parteien im CVD-Prozess begleiten.
Das CERT-Bund versucht auf jede Schwachstellenmeldung zeitnah zu reagieren, im Rahmen seiner Ressourcen eine Einschätzung zu geben und das weitere Vorgehen zu skizzieren.
Sicherheitsforschende können eigenständig eine angemessene Frist setzen, bis wann betroffene Hersteller Schwachstellen behoben haben sollten. Diese Frist sollte sich innerhalb der international üblichen 45 bis 90 Tage bewegen. Abhängig von der Kritikalität und der Komplexität einer Schwachstelle kann die entsprechende Frist in Absprache mit dem Sicherheitsforschenden allerdings verkürzt oder verlängert werden.
Für Hardware-Schwachstellen kann die Frist deutlich abweichen. Notwendig werdende Abweichungen sind seitens der Sicherheitsforschenden oder Hersteller zu begründen und im Rahmen der Koordinierung zu klären. Eine Verlängerung der maximalen Frist muss in Abstimmung mit Sicherheitsforschenden geschehen. Sollte zudem eine Frist seitens der Sicherheitsforschenden festgelegt worden sein, so ist dem Hersteller dies bei der Kontaktaufnahme durch das BSI mitzuteilen.
Hier sind oftmals Einzelfallentscheidungen notwendig, in allen Fällen stimmt sich das CERT-Bund mit allen Beteiligten eng ab, um eine bestmögliche Lösung zu erarbeiten.
In Folge eines Scheiterns des Prozesses prüft das BSI gemäß seines gesetzlichen Auftrags mögliche weitere Schritte. Beispielsweise kann das BSI die aus dem CVD-Prozess gewonnenen Erkenntnisse zur Erfüllung der gesetzlichen Aufgaben ohne weitere Beteiligung des Herstellers weiterverwenden, in geeigneter Weise mit anderen Stellen teilen und bei Bedarf kurzfristige Warnungen veröffentlichen.
Diese Entscheidungen werden grundsätzlich mit den Sicherheitsforschenden besprochen und das weitere gemeinsame Vorgehen eng abgestimmt.
Je nach Kritikalität und Notwendigkeit einer zeitnahen Reaktion, prüft das BSI ob eine Vorabinformation mit weiterführenden Informationen gemäß des gesetzlichen Auftrags an die Zielgruppen des BSI verteilt werden muss.
Das CERT-Bund bietet Sicherheitsforschenden die Möglichkeit über das Schwachstellenmeldeformular einen PGP-Schlüssel mitanzugeben. Dieser wird anschließend für eine verschlüsselte Kommunikation mit den Sicherheitsforschenden genutzt. Daher bietet das CERT-Bund aktuell keine EE2E-Messenger für Meldungen von Schwachstellen an. Wir evaluieren weiterhin zusätzliche Meldemöglichkeiten (neben dem Meldeformular und E-Mail) für Sicherheitsforschende.
Sofern das BSI in seiner Rolle als koordinierende Stelle tätig war, wird nach Behebung der Schwachstelle, im Rahmen des CVD-Prozesses einen entsprechenden Hinweis (bestehend aus Name/Alias, gewünschte Referenzen, sowie Art der gemeldeten Schwachstelle) auf der Danksagungswebseite (Hall of Fame) des BSI veröffentlichen. Sicherheitsforschende werden über die erfolgreiche Aufnahme in die Hall of Fame informiert.
Im Rahmen eines durchgeführten CVD-Prozesses bietet das BSI Sicherheitsforschenden aktuell keine finanzielle Kompensation an.
Schwachstellen die vor dem Veröffentlichungsdatum der CVD-Richtlinie gemeldet wurden, werden nachträglich nicht übernommen.
