In allen Informationssystem oder Netzwerken kann es Schwachstellen geben. Diese Schwachstelle können sowohl von Personen mit guten Absichten, sogenannten „ethischen Hackern“, als auch von Personen mit schlechte Absichten entdeckt werden. Wenn keine koordinierte Offenlegungspolitik für Schwachstellen (auf Englisch Coordinated Vulnerability Discloure Policy - CVDP) oder « bug bounty » Programme existieren, hält die Angst vor Strafverfolgung wohlwollende Menschen oft davon ab nach solchen Schwachstellen zu suchen und diese zu melden.

Im Rahmen der Umsetzung der nationalen Cybersicherheitsstrategie wurde in Belgien ein neuer Gesetzesrahmen verabschiedet, um diese Situation zu lösen.

Innerhalb eines strikten Bedingungsrahmen können ab sofort natürliche oder juristische Personen, sofern diese ohne betrügerische oder schädigende Absichten handeln, bestehe Schwachstellen in belgischen Netzwerken und Informationssystemen suchen und melden (siehe die diesbezüglichen detaillierten Erläuterungen).

Eine dieser Bedingungen ist eine unverzügliche Meldung der entdecken Schwachstelle an den Center for Cyber security Belgium (CCB). Diese Meldung muss unbedingt der dazu ausgelegten Prozedur folgen

A. Kontext

Der Centre for Cyber security Belgium (hiernach, „CCB“) kann, als nationales Computer Security Incident Response Team (nationales Computer-Notfallteam, hiernach „CSIRT“), Meldungen von potentiellen Schwachstellen von natürlichen oder juristischen Personen erhalten (sehen die Artikel 62/1 und 62/2, des Gesetzes von 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit — Inoffizielle Koordinierung in deutscher Sprache von Auszügen).

Eine Schwachstelle wird wie folgt definiert: „eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann.“

Insofern eine für ein Netzwerk oder ein Informationssystem verantwortliche Organisation (hiernach „verantwortliche Organisation“) über eine koordinierte Offenlegungspolitik für Schwachstellen (auf Englisch Coordinated Vulnerability Discloure Policy – hiernach „CVDP“) verfügt, sollten Personen, die eine Schwachstelle im Geltungsbereich dieser CVDP entdecken, unverzüglich und ausschließlich die verantwortliche Organisation kontaktieren. Falls Schwierigkeiten auftreten oder die verantwortliche Organisation nicht nach einer annehmbaren Frist reagiert, können Teilnehmer einer CVDP den CCB (in der Rolle des Standardkoordinators) kontaktieren. Sollte die Schwachstelle ebenfalls andere Organisationen betreffen, die nicht über eine CVDP verfügen, können diese nichtsdestotrotz an den CCB weitergeleitet werden.

Das hiernach beschriebene Verfahren zur Meldung von Informatikschwachstellen unterscheidet sich von den gesetzlichen Regeln, die auf Personen anwendbar sind welche Verstöße bezüglich EU- oder nationalem Recht melden. Diese zweite Kategorie von Meldungen basiert (ebenfalls) auf Informationen die im professionellen Rahmen erhalten wurden. So müssen zum Beispiel Meldungen bezüglich eines Verstoßen von Privatsphäre- und Datenschutzregeln, oder von Netzwerksicherheits- und Informationssystemregeln, den dazu ausgelegten gesetzlichen Rahmen respektieren (siehe dazu, auf Französisch, das Gesetz vom 28. November 2022 zum Schutz von Personen, die Verstöße gegen das Unionsrecht oder das nationale Recht melden, die bei einer Rechtsperson des deutschen Privatsektors festgestellt wurden und das Gesetz vom 8. Dezember 2022 über Meldekanäle und den Schutz von Personen, die Integritätsverletzungen in den Einrichtungen des föderalen öffentlichen Sektors und bei der integrierten Polizei melden). Eventuell muss dieser Rahmen mit den hier aufgeführten Verfahrensregeln kombiniert werden.

B. Welche sind Ihre Verpflichtungen im Rahmen der Suchen von Schwachstellen und deren Meldung ?

1° Sie müssen sich strikt auf die Tatsachen beschränken, die für die Meldung einer Schwachstelle erforderlich sind. Sie dürfen demnach nicht jenseits von Notwendigkeit und Verhältnismäßigkeit handeln, um die Existenz einer Schwachstelle zu überprüfen (sehen unten, Punkt C: "Verhältnismäßigkeit und Notwendigkeit der Maßnahmen").

2° Sie müssen ohne betrügerische oder schädigende Absichten handeln.

Sie dürfen ihre Recherchen nicht für betrügerische oder schädigende Absichten nutzen. Zum Beispiel, dürfen Sie nicht versuchen, die entdeckten Informationen bei der verantwortlichen Organisation oder bei Dritten zu Geld zu machen (außer natürlich, wenn eine Belohnung oder Vergütung ausdrücklich und im Voraus im Rahmen einer Vereinbarung über einen Pentest, einer Bug Bounty, usw. vereinbart wurde).

Sofern möglich, und um Ihre guten Absichten zu demonstrieren, machen Sie sich im Rahmen Ihrer Recherchen vorab bei der verantwortlichen Organisation bekannt, z. B. durch die Verwendung einer Kopfzeile (header) oder eines anderen identifizierbaren Parameters.

3° so mehr schnell wie möglich nach der Entdeckung der potenziellen Schwachstelle (und spätestens bei der Meldung an den nationalen CSIRT) müssen Sie die für das System, den Prozess oder die Kontrolle verantwortliche Organisation über diese Schwachstelle informieren.

Wenn mehrere Personen an den Recherchen beteiligt waren, kann die Meldung im Namen mehrerer Personen erfolgen, die dann gemeinsam dessen Verantwortung übernehmen. Der Einfachheit halber können auch mehrere Schwachstellen, die dieselbe verantwortliche Organisation betreffen, in einer einzigen Meldung zusammengeführt werden. Es ist jedoch erforderlich, jedes Mal eine separate Meldung für jede betroffene Organisation zu erstellen.

Um die Schnelligkeit Ihrer Meldung zu gewährleisten, empfehlen wir Ihnen, die Nachweise über die durchgeführten Maßnahmen (das sogenannte Logging) gegenüber dem betroffenen Netzwerk und Informationssystem aufzubewahren und diese Informationen zum Zeitpunkt der Meldung an den CCB weiterzugeben.

4° Sie müssen die entdeckte Schwachstelle so schnell wie möglich, schriftlich, und gemäß den im Punkt D aufgeführten Modalitäten, beim CCB (falls es keine CVDP gibt) melden.

Um die Schnelligkeit der Meldung zu gewährleisten, wird es empfohlen, die Nachweise über die in Bezug auf das betroffene System, den Prozess oder die Kontrolle ergriffenen Maßnahmen aufbewahren, und diese Informationen zum Zeitpunkt der Meldung an den CCB weiterzuleiten. Es wird ebenfalls empfohlen, die Meldung vor einem aktiven Widerstand der verantwortlichen Organisation (z. B. durch Schließung von Ports) und/oder einer kriminalpolizeilichen Ermittlungshandlung durchzuführen, um die Dringlichkeit Ihrer Meldung zu unterstreichen.

5° Sie sollten die Informationen über die entdeckte Schwachstelle nicht ohne die Zustimmung des nationalen CSIRT (dem CCB) öffentlich bekanntgeben.

C. Verhältnismäßigkeit und Notwendigkeit der Maßnahmen

Ihre Handlungen müssen sich strikt auf die Aktionen beschränken, die notwendig sind, um die Suche nach und die Meldung von Schwachstellen in Netzwerken und Informationssystemen zu ermöglichen.

Folgendes kann als solche Aktionen angesehen werden:

• der unbefugte oder versuchte Zugriff auf einem Computersystem (art. 550bis § 1 und 4 des Strafgesetzbuchs);
• die Überschreitung oder versuchte Überschreitung einer Zugangsberechtigung zu einem Computersystem (art. 550bis § 2 und 4 des Strafgesetzbuches);
• die Übernahme oder das Kopieren von Computerdaten (art. 550bis § 3 des Strafgesetzbuchs);
• die Entwicklung oder der Besitz von Hacking-Tools (art. 550bis § 5 des Strafgesetzbuch);
• der Besitz, die Offenlegung, Nutzung oder Weitergabe von Informationen, die aus einem nicht autorisierten Zugriff stammen, beispielsweise Informationen, die im Internet verfügbar sind (art. 550bis § 7 des Strafgesetzbuchs);
• die Eingabe oder Veränderung von Daten in einem Computersystem (art. 550ter Strafgesetzbuch);
• das Abhören oder versuchte Abhören von Kommunikationen (art. 314bis Strafgesetzbuch und/oder Artikel 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikationen);
• die Verletzung einer beruflichen Geheimhaltungspflicht oder einer vertraglichen Verpflichtung zur Vertraulichkeit.

Ihre Handlungen und Suchmethoden müssen notwendig und verhältnismäßig zum verfolgte Ziel bleiben, namentlich die Existenz einer Schwachstelle zu überprüfen, um die Sicherheit des betreffenden Systems, Prozesses oder der Kontrolle zu verbessern. Die verwendeten Techniken müssen daher unbedingt ebenfalls notwendig und verhältnismäßig sein, um eine Sicherheitslücke nachzuweisen.

Wenn das Sicherheitsproblem in geringem Umfang nachgewiesen wurde, sollten Sie Ihre Untersuchung nicht fortsetzen. Es ist nicht das Ziel die Schwachstelle zu nutzen, um zu untersuchen wie weit man in ein System, einen Prozess oder eine Kontrolle eindringen kann. Ebenso wenig ist es gerechtfertigt, die Verfügbarkeit der von der betroffenen Einrichtung bereitgestellten Dienste zu beeinträchtigen.

Wenn es für den Nachweis einer Schwachstelle nicht unbedingt erforderlich ist, dürfen keine Daten aus dem System, Prozess oder der Kontrolle verwendet und gespeichert werden. Ebenso sollten alle gesammelten Daten innerhalb eines angemessenen Zeitraums nach der Meldung gelöscht werden. Wenn es notwendig ist, diese Daten noch eine gewisse Zeit lang aufzubewahren, oder wenn ein Gerichtsverfahren läuft, müssen Sie dafür sorgen, dass die Daten während dieser Zeit sicher aufbewahrt werden.

Als unverhältnismäßige und/oder nicht notwendige Maßnahmen könnte folgendes angesehen werden: 

• die Installation bösartiger Software (Malware): z.B. Viren, Würmer (Worms), Trojanische Pferde (Trojan Horse) oder andere;
• Distributed-Denial-of-Service (DDOS) Angriffe;
• Angriffe durch soziale Manipulation (social engineering) ;
• Phishing-Angriffe;
• Angriffe durch unerwünschte E-Mails (Spamming);
• der Diebstahl von oder der Angriff auf Passwörter (Brute Force);
• die Löschung von Daten aus dem Computersystem;
• das Eintreten eines vorhersehbaren Schadens am besuchten System oder an seinen Daten;
• alle anderen im Punkt C genannten Straftaten (z. B. Einbruch, Diebstahl, Überfall, usw.).

Schließlich sollten Sie auch berücksichtigen, dass, wenn Ihre Schwachstellenrecherche in Netzwerken oder Informationssystemen durchgeführt wird, die sich ganz oder teilweise außerhalb des belgischen Hoheitsgebiets befinden, das vorliegende Meldeverfahren Sie nur in Belgien und nicht in den anderen betroffenen Ländern schützt.

D. Wie melde ich eine Sicherheitslücke an das nationale CSIRT (CCB)?

Senden Sie die entdeckten Informationen ausschließlich an die folgende E-Mail-Adresse: vulnerabilityreport[at]ccb.belgium.be und/oder füllen Sie das folgende Formular aus:

Das ausgefüllte Formular muss uns im Word- oder PDF-Format mit Passwortschutz oder als Zip-Datei (um eine mögliche Blockierung durch unsere Antivirenfilter zu vermeiden) zugestellt werden.

Die Datei darf insgesamt maximal 7 MB groß sein.