Meldung gemäß § 8c Absatz 3 BSIG für Anbieter digitaler Dienste
--
Stand: 23.07.2021
--
Dieses Formular soll Anbieter digitaler Dienste bei der Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen gemäß § 8c Absatz 3 BSIG unterstützen.
Zur Meldung eines Sicherheitsvorfalls an das BSI müssen nicht alle Fragen der Kapitel 1 bis 6 sofort beantwortet werden. Sollten Sie eine Frage aktuell nicht beantworten können, lassen Sie bitte das betreffende Feld vorerst leer. In diesem Fall ist es wichtiger, dass uns Ihre Meldung schnellstmöglich erreicht.
Das ausgefüllte Formular senden Sie bitte per E-Mail an meldungen-dsp@bsi.bund.de.
Weitere Informationen zur Meldung von Sicherheitsvorfällen finden Sie auf der BSI-Website unter folgender URL: https://www.bsi.bund.de/dok/158526

Bei Fragen können Sie sich unter der Rufnummer +49 (0) 228 99 9582-6656 telefonisch an unsere Geschäftsstelle wenden.

### Hinweise zum Datenschutz ###
Die Übermittlung personenbezogener Daten ist zur Meldung eines Sicherheitsvorfalls in der Regel nicht erforderlich. So sollte z. B. zur besseren Erreichbarkeit als Kontakt für Rückfragen des BSI ein Organisations- bzw. Funktionskontakt angegeben werden. Falls Sie personenbezogene Daten angeben, beachten Sie bitte die Datenschutzerklärung des BSI: https://www.bsi.bund.de/Datenschutz.
Hinweise zu Meldestellen sind insbesondere in Kapitel 9 der Datenschutzerklärung enthalten.

### E-Mail-Verschlüsselung ###
Die Meldung von Sicherheitsvorfällen an das E-Mail-Postfach meldungen-dsp@bsi.bund.de sollte möglichst verschlüsselt erfolgen.
Dies ist sowohl per S/MIME als auch per PGP möglich. Unter der folgenden URL stellen wir die erforderlichen Zertifikate und Schlüssel zur Verfügung: https://www.bsi.bund.de/dok/450366.

### Der Inhalt zur Übernahme in Ihr Verfahren beginnt hier ###
### Beispiele zum Inhalt wurden mit *** markiert und sollten entfernt/ersetzt werden.###
 
1	Kontakt für Rückfragen zur Meldung
Bitte nennen Sie uns eine Organisations- bzw. Funktionseinheit und deren Kontaktdaten, an die wir uns bei eventuellen Rückfragen wenden können. Falls Sie an dieser Stelle einen personenbezogenen Kontakt angeben, setzen Sie bitte die genannte Person über die oben genannten Hinweise zum Datenschutz in Kenntnis.
*** Beispiel: Geschäftsstelle Digitale Dienste, digitale.dienste@bsi.bund.de, +49 (0) 228 99 9582-6656 ***

2	Angaben zum digitalen Dienst

2.1	Unternehmensname des Anbieters
*** Beispiel: Bundesamt für Sicherheit in der Informationstechnik ***

2.2	Name oder eindeutige Bezeichnung des digitalen Dienstes
*** Beispiel: Zentrale Meldestelle

2.3	Kategorie des digitalen Dienstes
*** Online Marktplatz / Online-Suchmaschine / Cloud-Computing-Dienst ***

2.4	Beschreibung des digitalen Dienstes
Bitte beschreiben Sie kurz den digitalen Dienst: Was stellt der Dienst konkret bereit? Wie viele Nutzer hat der Dienst? Handelt es sich dabei eher um gewerbliche oder um private Nutzer?

*** Beispiel: Der Dienst stellt … bereit. Der Dienst hat … Nutzer aus … Ländern. Es handelt sich ausschließlich um gewerbliche Nutzer, die den Dienst überwiegend für … nutzen.
 
3	Angaben zum Sicherheitsvorfall

3.1	Beschreibung des Sicherheitsvorfalls
Bitte beschreiben Sie die Art des Sicherheitsvorfalls.
*** Beispiel: Es handelt sich um einen Cyber-Angriff; es handelt sich um eine technische Störung, usw.***

3.2	Beschreibung der Ursache
Bitte beschreiben Sie die Ursache des Sicherheitsvorfalls.
*** Beispiel: Die Ursache ist ein DDoS-Angriff mit einer Bandbreite von 100 Gbps, der die Kapazität der vorhandenen Maßnahmen zur Abwehr übersteigt; die Ursache ist der Ausfall der Stromversorgung bei gleichzeitiger Störung der USV aufgrund einer defekten Steuerungseinheit.***

3.3	Dauer des Sicherheitsvorfalls
3.3.1	Datum und Uhrzeit des Auftretens
Wann ist der Sicherheitsvorfall aufgetreten?
*** 01.01.2021 12:03 ***

3.3.2	Datum und Uhrzeit der Erkennung
Wann wurde der bereits aufgetretene Sicherheitsvorfall erkannt?
*** 01.01.2021 13:08 ***.

3.3.3	Datum und Uhrzeit des Abschlusses
Falls der Sicherheitsvorfall bereits abgeschlossen wurde, geben Sie den Zeitpunkt bitte hier an.
*** 02.01.2021 08:44 ***

4	Angaben zu den Auswirkungen des Sicherheitsvorfalls

4.1	Beschreibung der Auswirkungen
Bitte beschreiben Sie die Auswirkungen des Sicherheitsvorfalls auf den digitalen Dienst. Falls bekannt, berücksichtigen Sie dabei bitte auch die Auswirkungen auf die Nutzer des Dienstes.
*** Beispiel: Der Dienst war über mehrere Stunden nicht verfügbar. Dadurch war es den Nutzern nicht möglich.

4.1.1	Anzahl der betroffenen Nutzer
Wie viele Nutzer des digitalen Dienstes waren von dem Sicherheitsvorfall betroffen?
*** Beispiel: 500.000 ***

4.1.2	Nutzerstunden
Für wie viele Nutzerstunden war der digitale Dienst insgesamt nicht verfügbar?
*** Beispiel: 1.500.000 ***

4.1.3	Betroffene Schutzziele
Hat der Sicherheitsvorfall zu einem Verlust der Integrität, Authentizität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der entsprechenden Dienste geführt? Falls ja, beschreiben Sie dies bitte kurz. Wie viele Nutzer waren jeweils konkret davon betroffen?
*** Beispiel: Es kam zu einer Verletzung der Vertraulichkeit der gespeicherten Daten von 350.000 Nutzern. Insbesondere waren davon verschlüsselte Kreditkartendaten betroffen.

4.1.4	Öffentliche Gefährdung
Ist durch den Sicherheitsvorfall eine öffentliche Gefahr oder ein Risiko für die öffentliche Sicherheit entstanden oder sind Menschen ums Leben gekommen
*** Beispiel: Ja es kam zu ... / Nein ***

4.1.5	Erheblicher Sachschaden
Ist durch den Sicherheitsvorfall für mindestens einen Nutzer in der Union ein Sachschaden in Höhe von mehr als einer Million € eingetreten? 
*** Beispiel: Ja und zwar in Höhe von 2.000.000€ bei exakt einem Nutzer. / Nein ***

4.2	Grenzüberschreitende Auswirkungen
Hatte der Sicherheitsvorfall Auswirkungen in anderen Mitgliedsstaaten der Europäischen Union? Falls ja, benennen Sie bitte die betroffenen Mitgliedsstaaten.
*** Beispiel: Ja, der Sicherheitsvorfall betraf auch Nutzer in Frankreich, Dänemark und Schweden ... mit den bereits beschriebenen Auswirkungen.***

5	Maßnahmen

5.1	Bereits getroffene Maßnahmen
Bitte beschreiben Sie, welche Maßnahmen durch Sie oder Dritte getroffen wurden. Inwieweit wurden der Sicherheitsvorfall und seine Auswirkungen durch diese Maßnahmen bewältigt?
*** Beispiel: Es wurde ein externer DDoS-Mitigation-Dienstleister beauftragt. Der Cyber-Angriff wird durch diese Maßnahme ausreichend abgemildert. Der digitale Dienst ist wieder verfügbar, es kommt aber zu längeren Antwortzeiten.***

5.2	Weitere geplante Maßnahmen
Falls weitere Maßnahmen durch Sie oder Dritte geplant sind, beschreiben Sie diese bitte kurz.
*** Beispiel: Die Kapazität des CDN zur Bereitstellung des Dienstes soll vorübergehend erweitert werden.***
 
6	Sonstige Angaben

Falls Sie uns noch weitere Informationen mitteilen möchten, ist hier der richtige Platz dafür.
### Der Inhalt zur Übernahme in Ihr Verfahren endet hier ###