Jedes Computersystem oder Netzwerk kann Schwachstellen enthalten. Diese Schwachstellen können sowohl von Personen mit guten Absichten als auch von Personen mit schlechten Absichten entdeckt werden. Abgesehen von der Existenz einer Politik zur koordinierten Offenlegung von Schwachstellen (CVD) oder einer Bug-Bounty-Prämie hält die Furcht, verklagt zu werden, wohlmeinende Menschen oft davon ab, nach diesen Schwachstellen zu suchen und sie zu melden.

Im Rahmen der Implementierung der nationalen Cybersicherheitsstrategie und NIS2-Gesetz wurde in Belgien ein Rahmenwerk verabschiedet, um dieser Situation zu begegnen.

Dieses Rahmenwerk ermöglicht es jeder natürlichen oder juristischen Person, die ohne betrügerische oder böswillige Absicht handelt, bestehende Schwachstellen in Netzwerk- und Informationssystemen in Belgien zu untersuchen und zu melden, sofern bestimmte Bedingungen strikt eingehalten werden (siehe detaillierte Erläuterungen).

Eine dieser Bedingungen ist die zweistufige Meldung der entdeckten Schwachstellen an das Zentrum für Cybersicherheit Belgien (ZCB) gemäß dem nachstehend beschriebenen Verfahren.

A. Hintergrund

Das Zentrum für Cybersicherheit Belgien (im Folgenden das "ZCB") kann in seiner Eigenschaft als nationales CSIRT Meldungen über potenzielle Schwachstellen von natürlichen oder juristischen Personen entgegennehmen (siehe Artikel 22 und 23 des Gesetzes vom 26. April 2024 Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit - hier nach dem "NIS2-Gesetz").

Eine Schwachstelle wird in Artikel 8, 15° des NIS2-Gesetzes definiert als "eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann".

Wenn eine Organisation eine Politik zur koordinierten Offenlegung von Schwachstellen (nachstehend "CVD") hat, sollten Forscher, die eine Schwachstelle entdecken, direkt die betroffene Organisation kontaktieren und die Anforderungen ihrer CVD befolgen. Wenn Schwierigkeiten auftreten (z. B. die zuständige Organisation nicht innerhalb eines angemessenen Zeitrahmens reagiert), wenn die potenzielle Schwachstelle mit einem System, einem Prozess oder einer Kontrolle zusammenhängt, die nicht in der CVD aufgeführt ist, oder wenn der Forscher der Meinung ist, dass er bestimmte Bestimmungen der CVD nicht einhalten kann, kann er eine Schwachstelle jederzeit dem ZCB melden. Wenn die Schwachstelle auch andere Organisationen betreffen kann, die nicht über eine CVD verfügen, sollte sie auch an das ZCB gemeldet werden.

Das im Folgenden beschriebene Verfahren für die Meldung von Schwachstellen unterscheidet sich deutlich von den rechtlichen Bestimmungen, die für Personen gelten, die Verstöße gegen EU- oder nationales Recht auf der Grundlage von Informationen melden, die sie in einem beruflichen Kontext erhalten haben. So muss die Meldung eines Verstoßes gegen die Rechtsvorschriften zum Schutz der Privatsphäre und personenbezogener Daten oder der Sicherheit von Netzwerken und Informationssystemen den für diesen Zweck vorgesehenen Rechtsvorschriften entsprechen (siehe insbesondere das Gesetz vom 28. November 2022 über den Schutz von Personen, die Verstöße gegen das Unionsrecht oder das nationale Recht melden, die in einer juristischen Einrichtung des privaten Sektors festgestellt wurden und das Gesetz vom 8. Dezember 2022 über die Meldewege und den Schutz von Personen, die Verstöße gegen die Integrität in föderalen öffentlichen Einrichtungen und bei der integrierten Polizei melden), gegebenenfalls in Verbindung mit den Regeln dieses Verfahrens.

B. Welche Pflichten haben Sie im Zusammenhang mit der Suche nach und der Meldung von Schwachstellen?

1° Sie handeln nicht über das hinausgehen, was notwendig und verhältnismäßig ist, um das Vorhandensein einer Schwachstelle zu überprüfen und sie zu melden (siehe Punkt C "Verhältnismäßigkeit und Notwendigkeit von Maßnahmen").

2° Sie handeln ohne betrügerische Absichten oder der Absicht, Schaden anzurichten.

Sie dürfen Ihre Recherchen nicht für betrügerische Zwecke oder in böswilliger Absicht nutzen. Sie dürfen zum Beispiel nicht versuchen, die entdeckten Informationen an die verantwortliche Organisation oder an Dritte zu monetisieren (es sei denn, es wurde ausdrücklich und vorher eine Belohnung oder Vergütung im Rahmen eines Pests, Bug Bounty, einer Vereinbarung usw. vereinbart). Ebenso dürfen Sie die entdeckte Schwachstelle ohne vertragliche Vereinbarung mit der verantwortlichen Organisation nicht zum eigenen Vorteil oder zum Vorteil Dritter nutzen.

Wenn möglich und um Ihre guten Absichten zu demonstrieren, sollten Sie sich der zuständigen Organisation im Vorfeld Ihrer Recherche mitteilen, z. B. durch eine Kopfzeile oder einen anderen identifizierbaren Parameter.

3° unverzüglich und spätestens innerhalb von 24 Stunden nach der Entdeckung einer potenziellen Schwachstelle, müssen Sie eine vereinfachte Meldung der Schwachstelle an die zuständige Organisation und an das ZCB, gemäß dem unter Punkt D beschriebenen Verfahren einreichen.

Die Meldung einer Schwachstelle erfolgt in zwei Stufen: zunächst eine vereinfachte Meldung innerhalb von 24 Stunden, dann eine vollständige Meldung innerhalb von spätestens 72 Stunden. Ziel der ersten Meldung ist es, die betroffene Organisation und das ZCB zu informieren, dass eine potenzielle Schwachstelle gefunden wurde. Sie enthält eine Identifizierung der betroffenen Systeme und eine vereinfachte Beschreibung der potenziellen Schwachstelle.

4° Sie müssen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach der Entdeckung einer potenziellen Schwachstelle eine vollständige Meldung über die Schwachstelle an die zuständige Organisation und an das ZCB, gemäß dem unter Punkt D beschriebenen Verfahren einreichen.

Die vollständige Meldung enthält eine detaillierte Beschreibung der Schwachstelle, einschließlich genauer Schritte zur Reproduktion, sowie weitere technische Informationen wie Konfigurationsdetails, Betriebssystem, verwendete Tools usw.

Wenn mehr als eine Person an der Untersuchung beteiligt war, kann sowohl die vereinfachte als auch die vollständige Meldung im Namen mehrerer Personen erfolgen, die dann gemeinsam die Verantwortung übernehmen. Der Einfachheit halber können mehrere Schwachstellen, die dieselbe verantwortliche Organisation betreffen, auch in einer einzigen vereinfachten oder vollständigen Meldung gemeldet werden. Es ist jedoch erforderlich, für jede betroffene Organisation separate Meldungen zu machen.

Um die Rechtzeitigkeit Ihrer Berichte nachzuweisen, wird empfohlen, dass Sie Nachweise über die in Bezug auf das betreffende System, den betreffenden Prozess oder die betreffende Kontrolle ergriffenen Maßnahmen (Protokollierung) aufbewahren und diese Informationen dem ZCB zum Zeitpunkt der Berichte mitteilen. Innerhalb der beiden Fristen, Es wird auch empfohlen, die Berichte vor jeglichem aktiven Widerstand der zuständigen Organisation (z. B. Schließung von Ports) und/oder vor einer strafrechtlichen Untersuchung zu erstellen, um die Aktualität der Berichte zu unterstreichen.

5° Sie dürfen die Informationen über die entdeckte Schwachstelle nicht ohne die Zustimmung des ZCB (das auch die Position und den Kontext der betroffenen Organisation berücksichtigen wird) veröffentlichen.

6° betreffend die Netzwerk- und Informationssysteme einiger Organisationen (SGRS/ADIV, VSSE, OCAM/OCAD, Verteidigungsministerium, Polizeidienste, diplomatische und konsularische Vertretungen Belgiens außerhalb der EU, Nukleareinrichtungen der Klasse I und NCCN) oder Justizbehörden (und für Informationen, die von diesen oder für diese verarbeitet werden), müssen Sie vor Beginn Ihrer Recherchen mit der betreffenden Dienststelle eine schriftliche Vereinbarung über Suche nach Schwachstellen abschließen.

C. Verhältnismäßigkeit und Erforderlichkeit der Maßnahmen

Ihre Handlungen müssen sich strikt auf das beschränken, was notwendig und verhältnismäßig ist, um die Entdeckung und Meldung einer Schwachstelle in einem Netzwerk oder Informationssystem zu ermöglichen.

Die folgenden Aktionen können als solche betrachtet werden:

• Unbefugter Zugang oder versuchter Zugang zu einem Computersystem (Art. 550 bis 1 und 4 des Strafgesetzbuchs; Art. 524 und 527 des neuen Strafgesetzbuchs);
• Überschreitung oder Versuch der Überschreitung einer Zugangsberechtigung zu einem Computersystem (Art. 550bis 2 und 4 des Strafgesetzbuchs; Art. 525 und 527 des neuen Strafgesetzbuchs);
• Übernahme oder Kopieren von Computerdaten (Art. 550bis, § 3 des Strafgesetzbuches; Art. 526 des neuen Strafgesetzbuches);
• die Entwicklung oder der Besitz von Hacking-Tools (Art. 550bis, § 5 des Strafgesetzbuches; Art. 528 des neuen Strafgesetzbuches);
• den Besitz, die Weitergabe, die Nutzung oder die Weitergabe von Informationen, die durch unbefugten Zugang erlangt wurden, zum Beispiel Informationen, die im Internet verfügbar sind (Art. 550bis 7 des Strafgesetzbuches; Art. 530 des neuen Strafgesetzbuches);
• Einführung oder Veränderung von Daten in ein Computersystem (Art. 550ter des Strafgesetzbuches; Art. 531-533 des neuen Strafgesetzbuches);
• Abhören oder versuchtes Abhören von Nachrichten (Art. 314bis des Strafgesetzbuches; Art. 342-346 des neuen Strafgesetzbuches; und/oder Art. 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikation);
• die Verletzung eines Berufsgeheimnisses oder einer vertraglichen Verschwiegenheitspflicht (Art. 458 des Strafgesetzbuches; Art. 352 des neuen Strafgesetzbuches).

Ihre Handlungen und Recherchemethoden müssen notwendig und verhältnismäßig bleiben im Hinblick auf das Ziel, das Vorhandensein einer Schwachstelle zu überprüfen, um die Sicherheit des betreffenden Systems, Prozesses oder der Kontrolle zu verbessern. Die verwendeten Techniken müssen daher für den Nachweis einer Schwachstelle unbedingt notwendig und verhältnismäßig sein.

Wenn der Nachweis in kleinem Umfang möglich ist, sollen Sie Ihre Recherche nicht weiter ausdehnen. Ziel ist es nicht, die Schwachstelle zu nutzen, um zu untersuchen, wie weit man in ein System, einen Prozess oder eine Kontrolle eindringen kann. Ebenso wenig ist es gerechtfertigt, die Verfügbarkeit der von den betroffenen Geräten bereitgestellten Dienste zu unterbrechen.

Wenn es nicht unbedingt erforderlich ist, um das Vorhandensein einer Schwachstelle nachzuweisen, sollte auf die Verwendung und Aufbewahrung von Daten aus dem System, dem Prozess oder der Kontrolle verzichtet werden. Ebenso sollten alle erhobenen Daten innerhalb eines angemessenen Zeitraums nach der Meldung gelöscht werden. Wenn es notwendig ist, diese Daten für einen längeren Zeitraum aufzubewahren oder wenn ein Gerichtsverfahren läuft, müssen Sie sicherstellen, dass diese Daten während dieses Zeitraums sicher aufbewahrt werden.

Die folgenden Maßnahmen können als unverhältnismäßig und/oder unnötig angesehen werden:

• die Installation bösartiger Software (Malware): Viren, Würmer, trojanische Pferde oder andere;
• Verteilte Denial-of-Service-Angriffe (DDOS);
• Social-Engineering-Angriffe;
• Phishing-Angriffe;
• Spamming-Angriffe;
• Passwortdiebstahl oder Brute-Force-Angriffe;
• Löschung von Daten aus dem Computersystem;
• die Verwirklichung eines vorhersehbaren Schadens am besuchten System oder seinen Daten;
• andere Straftaten aus dem Strafgesetzbuch, die in der obigen Liste nicht aufgeführt sind (z. B. Einbruch, Diebstahl, Körperverletzung usw.).

Schließlich sollten Sie auch berücksichtigen, dass, wenn Ihre Schwachstellenforschung in Netzwerken oder Informationssystemen durchgeführt wird, die sich ganz oder teilweise außerhalb des belgischen Staatsgebiets befinden, das vorliegende Meldeverfahren Sie nur in Belgien und nicht in den anderen betroffenen Ländern schützt.

D. Wie meldet man eine Schwachstelle an das nationale CSIRT (ZCB)?

Sie müssen die entdeckten Informationen ausschließlich an die folgende E-Mail-Adresse senden: vulnerabilityreport[at]ccb.belgium.be, mit dem folgenden Formular:

Das ausgefüllte Formular muss im Word, ODT- oder PDF-Format an uns geschickt werden, das mit einem Passwort geschützt ist, oder in einer passwortgeschützten .zip-Datei (um eine mögliche Blockierung durch unsere Antivirenfilter zu vermeiden).

Die Datei darf nicht größer als 7 MB sein.