Meldung der entdecken Schwachstelle an den CCB
In allen Informationssystem oder Netzwerken kann es Schwachstellen geben. Diese Schwachstelle können sowohl von Personen mit guten Absichten, sogenannten „ethischen Hackern“, als auch von Personen mit schlechte Absichten entdeckt werden. Wenn keine koordinierte Offenlegungspolitik für Schwachstellen (auf Englisch Coordinated Vulnerability Discloure Policy - CVDP) oder « bug bounty » Programme existieren, hält die Angst vor Strafverfolgung wohlwollende Menschen oft davon ab nach solchen Schwachstellen zu suchen und diese zu melden.
Im Rahmen der Umsetzung der nationalen Cybersicherheitsstrategie wurde in Belgien ein neuer Gesetzesrahmen verabschiedet, um diese Situation zu lösen.
Innerhalb eines strikten Bedingungsrahmen können ab sofort natürliche oder juristische Personen, sofern diese ohne betrügerische oder schädigende Absichten handeln, bestehe Schwachstellen in belgischen Netzwerken und Informationssystemen suchen und melden (siehe die diesbezüglichen detaillierten Erläuterungen).
Eine dieser Bedingungen ist eine unverzügliche Meldung der entdecken Schwachstelle an den Center for Cyber security Belgium (CCB). Diese Meldung muss unbedingt der dazu ausgelegten Prozedur folgen
A. Kontext
Der Centre for Cyber security Belgium (hiernach, „CCB“) kann, als nationales Computer Security Incident Response Team (nationales Computer-Notfallteam, hiernach „CSIRT“), Meldungen von potentiellen Schwachstellen von natürlichen oder juristischen Personen erhalten (sehen die Artikel 62/1 und 62/2, des Gesetzes von 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit — Inoffizielle Koordinierung in deutscher Sprache von Auszügen).
Eine Schwachstelle wird wie folgt definiert: „eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann.“
Insofern eine für ein Netzwerk oder ein Informationssystem verantwortliche Organisation (hiernach „verantwortliche Organisation“) über eine koordinierte Offenlegungspolitik für Schwachstellen (auf Englisch Coordinated Vulnerability Discloure Policy – hiernach „CVDP“) verfügt, sollten Personen, die eine Schwachstelle im Geltungsbereich dieser CVDP entdecken, unverzüglich und ausschließlich die verantwortliche Organisation kontaktieren. Falls Schwierigkeiten auftreten oder die verantwortliche Organisation nicht nach einer annehmbaren Frist reagiert, können Teilnehmer einer CVDP den CCB (in der Rolle des Standardkoordinators) kontaktieren. Sollte die Schwachstelle ebenfalls andere Organisationen betreffen, die nicht über eine CVDP verfügen, können diese nichtsdestotrotz an den CCB weitergeleitet werden.
Das hiernach beschriebene Verfahren zur Meldung von Informatikschwachstellen unterscheidet sich von den gesetzlichen Regeln, die auf Personen anwendbar sind welche Verstöße bezüglich EU- oder nationalem Recht melden. Diese zweite Kategorie von Meldungen basiert (ebenfalls) auf Informationen die im professionellen Rahmen erhalten wurden. So müssen zum Beispiel Meldungen bezüglich eines Verstoßen von Privatsphäre- und Datenschutzregeln, oder von Netzwerksicherheits- und Informationssystemregeln, den dazu ausgelegten gesetzlichen Rahmen respektieren (siehe dazu, auf Französisch, das Gesetz vom 28. November 2022 zum Schutz von Personen, die Verstöße gegen das Unionsrecht oder das nationale Recht melden, die bei einer Rechtsperson des deutschen Privatsektors festgestellt wurden und das Gesetz vom 8. Dezember 2022 über Meldekanäle und den Schutz von Personen, die Integritätsverletzungen in den Einrichtungen des föderalen öffentlichen Sektors und bei der integrierten Polizei melden). Eventuell muss dieser Rahmen mit den hier aufgeführten Verfahrensregeln kombiniert werden.
B. Welche sind Ihre Verpflichtungen im Rahmen der Suchen von Schwachstellen und deren Meldung ?
1° Sie müssen sich strikt auf die Tatsachen beschränken, die für die Meldung einer Schwachstelle erforderlich sind. Sie dürfen demnach nicht jenseits von Notwendigkeit und Verhältnismäßigkeit handeln, um die Existenz einer Schwachstelle zu überprüfen (sehen unten, Punkt C: "Verhältnismäßigkeit und Notwendigkeit der Maßnahmen").
2° Sie müssen ohne betrügerische oder schädigende Absichten handeln.
Sie dürfen ihre Recherchen nicht für betrügerische oder schädigende Absichten nutzen. Zum Beispiel, dürfen Sie nicht versuchen, die entdeckten Informationen bei der verantwortlichen Organisation oder bei Dritten zu Geld zu machen (außer natürlich, wenn eine Belohnung oder Vergütung ausdrücklich und im Voraus im Rahmen einer Vereinbarung über einen Pentest, einer Bug Bounty, usw. vereinbart wurde).
Sofern möglich, und um Ihre guten Absichten zu demonstrieren, machen Sie sich im Rahmen Ihrer Recherchen vorab bei der verantwortlichen Organisation bekannt, z. B. durch die Verwendung einer Kopfzeile (header) oder eines anderen identifizierbaren Parameters.
3° so mehr schnell wie möglich nach der Entdeckung der potenziellen Schwachstelle (und spätestens bei der Meldung an den nationalen CSIRT) müssen Sie die für das System, den Prozess oder die Kontrolle verantwortliche Organisation über diese Schwachstelle informieren.
Wenn mehrere Personen an den Recherchen beteiligt waren, kann die Meldung im Namen mehrerer Personen erfolgen, die dann gemeinsam dessen Verantwortung übernehmen. Der Einfachheit halber können auch mehrere Schwachstellen, die dieselbe verantwortliche Organisation betreffen, in einer einzigen Meldung zusammengeführt werden. Es ist jedoch erforderlich, jedes Mal eine separate Meldung für jede betroffene Organisation zu erstellen.
Um die Schnelligkeit Ihrer Meldung zu gewährleisten, empfehlen wir Ihnen, die Nachweise über die durchgeführten Maßnahmen (das sogenannte Logging) gegenüber dem betroffenen Netzwerk und Informationssystem aufzubewahren und diese Informationen zum Zeitpunkt der Meldung an den CCB weiterzugeben.
4° Sie müssen die entdeckte Schwachstelle so schnell wie möglich, schriftlich, und gemäß den im Punkt D aufgeführten Modalitäten, beim CCB (falls es keine CVDP gibt) melden.
Um die Schnelligkeit der Meldung zu gewährleisten, wird es empfohlen, die Nachweise über die in Bezug auf das betroffene System, den Prozess oder die Kontrolle ergriffenen Maßnahmen aufbewahren, und diese Informationen zum Zeitpunkt der Meldung an den CCB weiterzuleiten. Es wird ebenfalls empfohlen, die Meldung vor einem aktiven Widerstand der verantwortlichen Organisation (z. B. durch Schließung von Ports) und/oder einer kriminalpolizeilichen Ermittlungshandlung durchzuführen, um die Dringlichkeit Ihrer Meldung zu unterstreichen.
5° Sie sollten die Informationen über die entdeckte Schwachstelle nicht ohne die Zustimmung des nationalen CSIRT (dem CCB) öffentlich bekanntgeben.
C. Verhältnismäßigkeit und Notwendigkeit der Maßnahmen
Ihre Handlungen müssen sich strikt auf die Aktionen beschränken, die notwendig sind, um die Suche nach und die Meldung von Schwachstellen in Netzwerken und Informationssystemen zu ermöglichen.
Folgendes kann als solche Aktionen angesehen werden:
- der unbefugte oder versuchte Zugriff auf einem Computersystem (art. 550bis § 1 und 4 des Strafgesetzbuchs);
- die Überschreitung oder versuchte Überschreitung einer Zugangsberechtigung zu einem Computersystem (art. 550bis § 2 und 4 des Strafgesetzbuches);
- die Übernahme oder das Kopieren von Computerdaten (art. 550bis § 3 des Strafgesetzbuchs);
- die Entwicklung oder der Besitz von Hacking-Tools (art. 550bis § 5 des Strafgesetzbuch);
- der Besitz, die Offenlegung, Nutzung oder Weitergabe von Informationen, die aus einem nicht autorisierten Zugriff stammen, beispielsweise Informationen, die im Internet verfügbar sind (art. 550bis § 7 des Strafgesetzbuchs);
- die Eingabe oder Veränderung von Daten in einem Computersystem (art. 550ter Strafgesetzbuch);
- das Abhören oder versuchte Abhören von Kommunikationen (art. 314bis Strafgesetzbuch und/oder Artikel 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikationen);
- die Verletzung einer beruflichen Geheimhaltungspflicht oder einer vertraglichen Verpflichtung zur Vertraulichkeit.
Ihre Handlungen und Suchmethoden müssen notwendig und verhältnismäßig zum verfolgte Ziel bleiben, namentlich die Existenz einer Schwachstelle zu überprüfen, um die Sicherheit des betreffenden Systems, Prozesses oder der Kontrolle zu verbessern. Die verwendeten Techniken müssen daher unbedingt ebenfalls notwendig und verhältnismäßig sein, um eine Sicherheitslücke nachzuweisen.
Wenn das Sicherheitsproblem in geringem Umfang nachgewiesen wurde, sollten Sie Ihre Untersuchung nicht fortsetzen. Es ist nicht das Ziel die Schwachstelle zu nutzen, um zu untersuchen wie weit man in ein System, einen Prozess oder eine Kontrolle eindringen kann. Ebenso wenig ist es gerechtfertigt, die Verfügbarkeit der von der betroffenen Einrichtung bereitgestellten Dienste zu beeinträchtigen.
Wenn es für den Nachweis einer Schwachstelle nicht unbedingt erforderlich ist, dürfen keine Daten aus dem System, Prozess oder der Kontrolle verwendet und gespeichert werden. Ebenso sollten alle gesammelten Daten innerhalb eines angemessenen Zeitraums nach der Meldung gelöscht werden. Wenn es notwendig ist, diese Daten noch eine gewisse Zeit lang aufzubewahren, oder wenn ein Gerichtsverfahren läuft, müssen Sie dafür sorgen, dass die Daten während dieser Zeit sicher aufbewahrt werden.
Als unverhältnismäßige und/oder nicht notwendige Maßnahmen könnte folgendes angesehen werden:
- die Installation bösartiger Software (Malware): z.B. Viren, Würmer (Worms), Trojanische Pferde (Trojan Horse) oder andere;
- Distributed-Denial-of-Service (DDOS) Angriffe;
- Angriffe durch soziale Manipulation (social engineering) ;
- Phishing-Angriffe;
- Angriffe durch unerwünschte E-Mails (Spamming);
- der Diebstahl von oder der Angriff auf Passwörter (Brute Force);
- die Löschung von Daten aus dem Computersystem;
- das Eintreten eines vorhersehbaren Schadens am besuchten System oder an seinen Daten;
- alle anderen im Punkt C genannten Straftaten (z. B. Einbruch, Diebstahl, Überfall, usw.).
Schließlich sollten Sie auch berücksichtigen, dass, wenn Ihre Schwachstellenrecherche in Netzwerken oder Informationssystemen durchgeführt wird, die sich ganz oder teilweise außerhalb des belgischen Hoheitsgebiets befinden, das vorliegende Meldeverfahren Sie nur in Belgien und nicht in den anderen betroffenen Ländern schützt.
D. Wie melde ich eine Sicherheitslücke an das nationale CSIRT (CCB)?
Senden Sie die entdeckten Informationen ausschließlich an die folgende E-Mail-Adresse: vulnerabilityreport[at]ccb.belgium.be und/oder füllen Sie das folgende Formular aus:
Das ausgefüllte Formular muss uns im Word- oder PDF-Format mit Passwortschutz oder als Zip-Datei (um eine mögliche Blockierung durch unsere Antivirenfilter zu vermeiden) zugestellt werden.
Die Datei darf insgesamt maximal 7 MB groß sein.
Wenn möglich, sollten Sie die folgenden sicheren Kommunikationsmittel verwenden:
PGP Key ID: 0x31A9EA55
Type: RSA-4096 Key
Fingerprint: 8E98 3C10 BC8D 23BA EE1B 9CB9 670C A658 31A9 EA55
Schützen Sie das Formular mit einem Passwort, das uns per E-Mail mitgeteilt werden kann.
Geben Sie genügend Informationen an, damit wir die Schwachstelle verstehen und sie so schnell wie möglich beheben können.
E. Folgen der Meldung
Sofern Sie alle im Abschnitt B aufgeführten Bedingungen strikt einhalten, kann ein Rechtfertigungsgrund für die Straftaten der Artikel 314bis, 550bis, 550ter des Strafgesetzbuches und 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikationen in begrenztem Umfang akzeptiert werden.
Wenn Sie Informationen über eine potenzielle Schwachstelle melden, von der Sie in Ihrem beruflichen Kontext erfahren haben, wird nicht davon ausgegangen, dass Sie Ihre Pflicht zur Wahrung des Berufsgeheimnisses verletzt haben. Sie haften demnach in keiner Weise für die Übermittlung von Informationen, die zur Meldung einer potenziellen Schwachstelle an den CCB erforderlich sind.
Jede andere mögliche Verantwortlichkeit der Melder für Handlungen oder Unterlassungen, die nicht für die Durchführung des Meldeverfahrens erforderlich sind und nicht alle in Abschnitt B aufgeführten Bedingungen erfüllen, bleibt straf- und zivilrechtlich strafbar.
Es ist wichtig zu beachten, dass dieser gesetzliche Schutz auf die Anwendung des belgischen Rechtes beschränkt ist und Sie nicht vor möglichen Verstößen nach dem Recht anderer Länder schützt.
Letztlich verpflichtet sich der CCB Ihre Identität vertraulich zu behandeln, wenn Sie dies beantragen und die unter Punkt B genannten Bedingungen erfüllt sind.
F. Verfahren
Wenn der CCB eine Meldung erhält, verpflichtet er sich, dem Meldenden eine Empfangsbestätigung zu senden.
Erhält der Meldende nicht innerhalb einer angemessenen Frist eine Empfangsbestätigung oder hat er besondere Fragen, kann er sich gegebenenfalls per E-Mail an vulnerabilitydisclosure[at]ccb.belgium.be wenden.
Der Meldende und der CCB verpflichten sich, alles in ihrer Macht stehende zu tun, um eine kontinuierliche und effektive Kommunikation zu gewährleisten, um die Schwachstelle zu identifizieren und eine Lösung zu finden.
Die CCB prüft in Zusammenarbeit mit den zuständigen Stellen der Staatsanwaltschaft, ob die in den Punkten B und C genannten Bedingungen erfüllt sind.
G. Personenbezogene Daten
Bei Ihren Recherchen und der Meldung einer Schwachstelle kann es vorkommen, dass Sie mit personenbezogenen Daten konfrontiert werden.
Die Verarbeitung personenbezogener Daten hat einen weiten Anwendungsbereich und umfasst insbesondere die Speicherung, Änderung, das Abrufen, die Konsultation, die Nutzung oder die Weitergabe aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen können. Ob eine Person "identifizierbar" ist, hängt nicht vom bloßen Identifikationswillen desjenigen ab, der die Daten verarbeitet, sondern von der Möglichkeit, die Person mithilfe dieser Daten direkt oder indirekt zu identifizieren (z. B.: eine E-Mail-Adresse, Identifikationsnummer, Online-Kennung, IP-Adresse oder auch Standortdaten).
Achten Sie in diesem Fall darauf, dass Sie, als Verantwortlicher für die Verarbeitung, Ihren Verpflichtungen zum Schutz personenbezogener Daten (DSGVO) nachkommen.
Unter Beachtung der Grundsätze der Notwendigkeit und der Verhältnismäßigkeit müssen Sie die mögliche Verarbeitung solcher Daten auf ein absolutes Minimum beschränken und ihre Verwendung, für andere Zwecke als den Nachweis einer Schwachstelle, Ihrer Handlungen oder die Weitergabe der Informationen an die verantwortliche Organisation sowie an den CCB, ausschließen. Wenn der Nachweis einer Schwachstelle anhand einiger weniger personenbezogener Daten möglich ist, müssen nicht alle zugänglichen Daten verarbeitet oder gespeichert werden.
Sie müssen insbesondere sicherstellen, dass die Daten, die Sie möglicherweise verarbeiten, mit einem dem Risiko entsprechenden Sicherheitsniveau aufbewahrt werden (vorzugsweise verschlüsselt und anonymisiert) und dass diese Daten unmittelbar nach Abschluss der Verarbeitung (bis zum Abschluss des Meldeverfahrens oder möglicherweise, im Falle von Anfechtungen oder Gerichtsverfahren, bis zum Abschluss des Verfahrens) gelöscht werden.
Außerdem müssen Sie die verantwortliche Organisation und die Datenschutzbehörde (APD/GBA/DSB) so schnell wie möglich, spätestens jedoch 72 Stunden nach Kenntnisnahme, über einen möglichen Verlust dieser Daten informieren, insofern dieser ein Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen mit sich bringen könnte (siehe Erläuterungen und das erforderliche Verfahren auf der Website der DSB).