Gesetzliches Verfahren zur Meldung von Schwachstellen an das ZCB

Das Zentrum für Cybersicherheit Belgien (im Folgenden das "ZCB") kann in seiner Eigenschaft als nationales CSIRT Meldungen über potenzielle Schwachstellen von natürlichen oder juristischen Personen entgegennehmen (siehe Artikel 22 und 23 des Gesetzes vom 26. April 2024 Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit - hier nach dem "NIS2-Gesetz").

Außerhalb des gesetzlichen Verfahrens für die Meldung von Schwachstellen übernimmt das ZCB auch eine ergänzende Rolle als Koordinator (standardmäßig) bei der Implementierung von Politiken zur koordinierten Offenlegung von Schwachstellen oder Bug-Bounty-Programmen in Belgien (Unterstützung, Koordination, Informationsaustausch usw.).

Allgemeine Merkmale des gesetzlichen Verfahrens für die Meldung von Schwachstellen

1° Sie handeln nicht über das hinausgehen, was notwendig und verhältnismäßig ist, um das Vorhandensein einer Schwachstelle zu überprüfen und sie zu melden (siehe Punkt C "Verhältnismäßigkeit und Notwendigkeit von Maßnahmen").

2° Sie handeln ohne betrügerische Absichten oder der Absicht, Schaden anzurichten.

Sie dürfen Ihre Recherchen nicht für betrügerische Zwecke oder in böswilliger Absicht nutzen. Sie dürfen zum Beispiel nicht versuchen, die entdeckten Informationen an die verantwortliche Organisation oder an Dritte zu monetisieren (es sei denn, es wurde ausdrücklich und vorher eine Belohnung oder Vergütung im Rahmen eines Pests, Bug Bounty, einer Vereinbarung usw. vereinbart). Ebenso dürfen Sie die entdeckte Schwachstelle ohne vertragliche Vereinbarung mit der verantwortlichen Organisation nicht zum eigenen Vorteil oder zum Vorteil Dritter nutzen.

Wenn möglich und um Ihre guten Absichten zu demonstrieren, sollten Sie sich der zuständigen Organisation im Vorfeld Ihrer Recherche mitteilen, z. B. durch eine Kopfzeile oder einen anderen identifizierbaren Parameter.

3° unverzüglich und spätestens innerhalb von 24 Stunden nach der Entdeckung einer potenziellen Schwachstelle, müssen Sie eine vereinfachte Meldung der Schwachstelle an die zuständige Organisation und an das ZCB, gemäß dem unter Punkt D beschriebenen Verfahren einreichen.

Die Meldung einer Schwachstelle erfolgt in zwei Stufen: zunächst eine vereinfachte Meldung innerhalb von 24 Stunden, dann eine vollständige Meldung innerhalb von spätestens 72 Stunden. Ziel der ersten Meldung ist es, die betroffene Organisation und das ZCB zu informieren, dass eine potenzielle Schwachstelle gefunden wurde. Sie enthält eine Identifizierung der betroffenen Systeme und eine vereinfachte Beschreibung der potenziellen Schwachstelle.

Die Frist beginnt zu dem Zeitpunkt, zu dem die Person vernünftigerweise von der Entdeckung einer potenziellen Schwachstelle (siehe Definition) hätte Kenntnis haben müssen, d. h. nach einer angemessenen Untersuchungs- und Validierungsphase, um eine mögliche Schwachstelle festzustellen.

Sie haben keinen Anspruch auf Rechtsschutz, wenn Sie die betroffene Organisation und das ZCB nicht innerhalb der vorgeschriebenen Fristen melden.

4° Sie müssen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach der Entdeckung einer potenziellen Schwachstelle eine vollständige Meldung über die Schwachstelle an die zuständige Organisation und an das ZCB, gemäß dem unter Punkt D beschriebenen Verfahren einreichen.

Die vollständige Meldung enthält eine detaillierte Beschreibung der Schwachstelle, einschließlich genauer Schritte zur Reproduktion, sowie weitere technische Informationen wie Konfigurationsdetails, Betriebssystem, verwendete Tools usw.

Wenn mehr als eine Person an der Untersuchung beteiligt war, kann sowohl die vereinfachte als auch die vollständige Meldung im Namen mehrerer Personen erfolgen, die dann gemeinsam die Verantwortung übernehmen. Der Einfachheit halber können mehrere Schwachstellen, die dieselbe verantwortliche Organisation betreffen, auch in einer einzigen vereinfachten oder vollständigen Meldung gemeldet werden. Es ist jedoch erforderlich, für jede betroffene Organisation separate Meldungen zu machen.

Um die Rechtzeitigkeit Ihrer Berichte nachzuweisen, wird empfohlen, dass Sie Nachweise über die in Bezug auf das betreffende System, den betreffenden Prozess oder die betreffende Kontrolle ergriffenen Maßnahmen (Protokollierung) aufbewahren und diese Informationen dem ZCB zum Zeitpunkt der Berichte mitteilen. Innerhalb der beiden Fristen, Es wird auch empfohlen, die Berichte vor jeglichem aktiven Widerstand der zuständigen Organisation (z. B. Schließung von Ports) und/oder vor einer strafrechtlichen Untersuchung zu erstellen, um die Aktualität der Berichte zu unterstreichen.

5° Sie dürfen die Informationen über die entdeckte Schwachstelle nicht ohne die Zustimmung des ZCB veröffentlichen.

Es ist Ihnen untersagt, ohne vorherige Zustimmung des ZCB Informationen aus dem Bericht öffentlich zugänglich zu machen (oder an Dritte weiterzugeben, die nicht an der Untersuchung beteiligt sind), die Rückschlüsse auf die betroffene Organisation, die anfälligen Systeme, die spezifische Schwachstelle und deren Ausnutzbarkeit zulassen.

Sie müssen die Schwachstelle der betroffenen Organisation und dem ZCB melden, aber die anschließende Veröffentlichung bleibt optional und muss in jedem Fall in koordinierter Weise erfolgen (unter Berücksichtigung der Interessen der betroffenen Parteien und der bestehenden Risiken, insbesondere des öffentlichen Interesses an der Offenlegung) – siehe Punkt F. Verfahren unten.

Wenn mehrere Organisationen von derselben Schwachstelle betroffen sind, können Sie für jede betroffene Organisation mehrere Berichte einreichen.

Dies hindert den Forscher nicht daran, allgemein über bestimmte Arten von Schwachstellen zu sprechen (ohne die gemeldete spezifische Schwachstelle, die betroffene Organisation oder die verwendete Methode zu erwähnen).

6° betreffend die Netzwerk- und Informationssysteme einiger Organisationen müssen Sie vor Beginn Ihrer Recherchen mit der betreffenden Dienststelle eine schriftliche Vereinbarung über Suche nach Schwachstellen abschließen.

Diese zusätzliche Bedingung gilt nur für die Informationssysteme der folgenden Organisationen (und für Informationen, die von ihnen oder für sie verarbeitet werden): SGRS/ADIV, VSSE, OCAM/OCAD, Verteidigungsministerium, Polizeidienste, diplomatische und konsularische Vertretungen Belgiens außerhalb der EU, Nukleareinrichtungen der Klasse I, das NCCN, das ZCB und Justizbehörden. Eine solche Vereinbarung kann beispielsweise in Form einer von der Organisation verabschiedeten CVD-Politik getroffen werden.

Ihre Handlungen müssen sich auf das beschränken, was notwendig und verhältnismäßig ist, um die Entdeckung und Meldung einer Schwachstelle in einem Netzwerk oder Informationssystem zu ermöglichen.

Je nach Kontext können insbesondere die folgenden Aktionen als verhältnismäßig angesehen werden (nicht erschöpfende Liste):

• Unbefugter Zugang oder versuchter Zugang zu einem Computersystem (Art. 550 bis 1 und 4 des Strafgesetzbuchs; Art. 524 und 527 des neuen Strafgesetzbuchs);
• Überschreitung oder Versuch der Überschreitung einer Zugangsberechtigung zu einem Computersystem (Art. 550bis 2 und 4 des Strafgesetzbuchs; Art. 525 und 527 des neuen Strafgesetzbuchs);
• Übernahme oder Kopieren von Computerdaten (Art. 550bis, § 3 des Strafgesetzbuches; Art. 526 des neuen Strafgesetzbuches);
• die Entwicklung oder der Besitz von Hacking-Tools (Art. 550bis, § 5 des Strafgesetzbuches; Art. 528 des neuen Strafgesetzbuches);
• den Besitz, die Weitergabe, die Nutzung oder die Weitergabe von Informationen, die durch unbefugten Zugang erlangt wurden, zum Beispiel Informationen, die im Internet verfügbar sind (Art. 550bis 7 des Strafgesetzbuches; Art. 530 des neuen Strafgesetzbuches);
• Einführung oder Veränderung von Daten in ein Computersystem (Art. 550ter des Strafgesetzbuches; Art. 531-533 des neuen Strafgesetzbuches);
• Abhören oder versuchtes Abhören von Nachrichten (Art. 314bis des Strafgesetzbuches; Art. 342-346 des neuen Strafgesetzbuches; und/oder Art. 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikation);
• die Verletzung eines Berufsgeheimnisses oder einer vertraglichen Verschwiegenheitspflicht (Art. 458 des Strafgesetzbuches; Art. 352 des neuen Strafgesetzbuches).

Ihre Handlungen und Recherchemethoden müssen notwendig und verhältnismäßig bleiben im Hinblick auf das Ziel, das Vorhandensein einer Schwachstelle zu überprüfen, um die Sicherheit des betreffenden Systems, Prozesses oder der Kontrolle zu verbessern. Die verwendeten Techniken müssen daher für den Nachweis einer Schwachstelle notwendig und verhältnismäßig sein.

Wenn der Nachweis in kleinem Umfang möglich ist, sollen Sie Ihre Recherche nicht weiter ausdehnen. Ziel ist es nicht, die Schwachstelle zu nutzen, um zu untersuchen, wie weit man in ein System, einen Prozess oder eine Kontrolle eindringen kann. Ebenso wenig ist es gerechtfertigt, die Verfügbarkeit der von den betroffenen Geräten bereitgestellten Dienste zu unterbrechen.

Wenn es nicht erforderlich ist, um das Vorhandensein einer Schwachstelle nachzuweisen, sollte auf die Verwendung und Aufbewahrung von Daten aus dem System, dem Prozess oder der Kontrolle verzichtet werden. Ebenso sollten alle erhobenen Daten innerhalb eines angemessenen Zeitraums nach der Meldung gelöscht werden. Wenn es notwendig ist, diese Daten für einen längeren Zeitraum aufzubewahren oder wenn ein Gerichtsverfahren läuft, müssen Sie sicherstellen, dass diese Daten während dieses Zeitraums sicher aufbewahrt werden.

Je nach Kontext können insbesondere die folgenden Aktionen als unverhältnismäßig und/oder unnötig angesehen werden (nicht erschöpfende Liste):

• die Installation bösartiger Software (Malware): Viren, Würmer, trojanische Pferde oder andere;
• Verteilte Denial-of-Service-Angriffe (DDOS);
• Social-Engineering-Angriffe;
• Phishing-Angriffe;
• Spamming-Angriffe;
• Passwortdiebstahl oder Brute-Force-Angriffe;
• Löschung von Daten aus dem Computersystem;
• die Verwirklichung eines angemessen vorhersehbaren Schadens am besuchten System oder seinen Daten;
• andere Straftaten aus dem Strafgesetzbuch, die in der obigen Liste nicht aufgeführt sind (z. B. Einbruch, Diebstahl, Körperverletzung usw.).

Schließlich sollten Sie auch berücksichtigen, dass, wenn Ihre Schwachstellenforschung in Netzwerken oder Informationssystemen durchgeführt wird, die sich ganz oder teilweise außerhalb des belgischen Staatsgebiets befinden, das vorliegende Meldeverfahren Sie nur in Belgien und nicht in den anderen betroffenen Ländern schützt.

Sie müssen die entdeckten Informationen ausschließlich an die folgende E-Mail-Adresse senden: vulnerabilityreport[at]ccb.belgium.be, mit den folgenden Formularen.

Das ausgefüllte Formular muss im Word, ODT- oder PDF-Format an uns geschickt werden, das mit einem Passwort geschützt ist, oder in einer passwortgeschützten .zip-Datei (um eine mögliche Blockierung durch unsere Antivirenfilter zu vermeiden).

Die Datei darf nicht größer als 7 MB sein.

Überprüfen Sie Punkt B, 3° und 4°, um zu wissen, welches Formular Sie wann benutzen müssen.

Wann immer möglich, empfehlen wir Ihnen,
die folgenden sicheren Kommunikationsmittel zu verwenden cfr. den PGP-Schlüssel "Vulnerability Report"

Schützen Sie das Formular mit einem Passwort, das uns per E-Mail mitgeteilt werden kann.

Stellen Sie uns genügend Informationen zur Verfügung, damit wir die Schwachstelle verstehen und sie so schnell wie möglich beheben können.

Unter der Voraussetzung, dass Sie alle unter Punkt B genannten Bedingungen einhalten, kann ein Rechtfertigungsgrund in begrenztem Umfang für die Straftaten aus den Artikeln 314bis, 458, 550bis und 550ter des Strafgesetzbuches (siehe Verweise auf die entsprechenden Artikel im neuen Strafgesetzbuch – Artikel 342, 343, 352, 524 bis 533), sowie Artikel 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikation akzeptiert werden.

Wenn Sie Informationen über eine potenzielle Schwachstelle melden, von der Sie in Ihrem beruflichen Umfeld Kenntnis erlangt haben, wird davon ausgegangen, dass Sie Ihre Pflicht zur Wahrung des Berufsgeheimnisses nicht verletzt haben und dass Sie in Bezug auf die Übermittlung von Informationen, die für die Meldung einer potenziellen Schwachstelle an das ZCB erforderlich sind, in keiner Weise haftbar gemacht werden können.

Jede andere mögliche Verantwortung der Verfasser des Berichts, die sich aus Handlungen oder Unterlassungen ergibt, die für den Abschluss des Berichtsverfahrens nicht erforderlich sind und die nicht alle unter Punkt B aufgeführten Bedingungen erfüllen, bleibt unberührt. Diese Handlungen oder Unterlassungen können weiterhin straf- und zivilrechtlich geahndet werden.

Bitte beachten Sie, dass dieser Rechtsschutz auf die Anwendung des belgischen Gesetzes beschränkt ist und Sie nicht vor möglichen Straftaten schützt, die nach dem Recht anderer Länder begangen werden.

Schließlich verpflichtet sich das ZCB, Ihre Identität vertraulich zu behandeln, wenn Sie dies beantragen und die Bedingungen unter Punkt B erfüllt sind.

Nach Erhalt einer Schwachstellenmeldung bestätigt das ZCB dem Meldenden den Erhalt der Meldung.

Erhält die Person nicht innerhalb einer angemessenen Frist eine Bestätigung oder hat sie spezifische Fragen, kann sie sich gegebenenfalls an vulnerabilitydisclosure[at]ccb.belgium.be wenden.

Bei der Einreichung der Meldung oder während des Verfahrens kann die meldende Person um Anonymität bitten (die gewährt wird, wenn die Bedingungen des gesetzlichen Verfahrens erfüllt sind).

Die Person, die die Schwachstelle meldet, und das ZCB verpflichten sich, alle Anstrengungen zu unternehmen, um eine kontinuierliche und wirksame Kommunikation zu gewährleisten, damit die Schwachstelle erkannt und behoben werden kann.

Auf der Grundlage der ihm zur Verfügung stehenden Informationen führt das ZCB eine angemessene Überprüfung der Einhaltung der Bedingungen des gesetzlichen Verfahrens (Fristen, Verhalten/Handlungen des Forschers, keine Veröffentlichung ohne vorherige Zustimmung, mögliche vorherige schriftliche Vereinbarung für bestimmte Organisationen) durch, siehe die Punkte B und C, gegebenenfalls in Zusammenarbeit mit den zuständigen Abteilungen der Staatsanwaltschaft. Das ZCB ist jedoch nicht befugt, eine endgültige Entscheidung darüber zu treffen, ob diese Bedingungen erfüllt sind oder nicht, da dies in der alleinigen Zuständigkeit der Justizbehörden liegt.

Das ZCB kann die Sicherheit eines Netzwerk- und Informationssystems beobachten, untersuchen oder testen, um das Vorliegen einer potenziellen Schwachstelle festzustellen oder die vom Verfasser eines Berichts angewandten Methoden zu überprüfen. Es ist jedoch nicht verpflichtet, jede ihm gemeldete „potenzielle Schwachstelle” formell zu validieren oder zu testen.

Wenn der Forscher die Offenlegung der Schwachstelle wünscht, muss er einen formellen Antrag bei dem ZCB stellen, welches sich mit ihm und der von der Schwachstelle betroffenen Organisation in Verbindung setzt, um die Möglichkeit einer Offenlegung zu prüfen sowie die Frist zu verhandeln.

Die Entscheidung über die Genehmigung einer öffentlichen Offenlegung liegt bei dem ZCB-Management auf Grundlage der von den verschiedenen betroffenen Parteien vorgelegten Informationen.

Das ZCB trifft seine Entscheidung unter Berücksichtigung insbesondere der folgenden Faktoren (nicht erschöpfende Liste):

1. die Schwere der Schwachstelle und das Ausmaß, in dem sie ausgenutzt werden kann;
2. die Kritikalität der von der Schwachstelle betroffenen Organisationen (z. B. wesentliche oder wichtige Einrichtungen im Kontext von NIS2);
3. das Ausmaß, in dem die Schwachstelle entdeckt werden kann, und die Wahrscheinlichkeit, dass sie von anderen ausgenutzt wird;
4. die Implementierung einer Lösung auf den betroffenen Informationssystemen;
5. ob die Schwachstelle validiert werden kann.

Eine Entscheidung zur Genehmigung der Veröffentlichung bedeutet nicht, dass die Schwachstelle vom ZCB validiert wurde, sondern nur, dass das ZCB nicht über ausreichende Informationen verfügt, um sich der Offenlegung mit der Begründung zu widersetzen, dass sie ein Risiko für die öffentliche Sicherheit (für die Informationssysteme der betroffenen Organisation oder anderer Organisationen) darstellt.

Wird innerhalb einer angemessenen Frist nach dem formellen Antrag auf Veröffentlichung (Ablauf einer Frist von 90 Tagen) keine Entscheidung getroffen, kann der Forscher davon ausgehen, dass das ZCB keine Einwände oder Gründe gegen die Offenlegung der Schwachstelle hat.

Verarbeitung personenbezogener Daten durch den Forscher

Im Zuge Ihrer Nachforschungen und der Meldung einer Schwachstelle kommen Sie möglicherweise mit personenbezogenen Daten in Berührung.

Die Verarbeitung personenbezogener Daten ist ein weit gefasster Anwendungsbereich und umfasst die Speicherung, die Änderung, das Abrufen, die Abfrage, die Nutzung oder die Weitergabe von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen können. Der "identifizierbare" Charakter der Person hängt nicht vom einfachen Willen des Datenverarbeiters ab, die Person zu identifizieren, sondern von der Möglichkeit, die Person mit Hilfe dieser Daten direkt oder indirekt zu identifizieren (z. B. eine E-Mail-Adresse, eine Kennnummer, eine Online-Kennung, eine IP-Adresse oder Standortdaten).

In diesem Fall muss der Melder sicherstellen, dass er seinen Verpflichtungen zum Schutz personenbezogener Daten als für die Verarbeitung Verantwortlicher gemäß der Allgemeinen Datenschutzverordnung (DSGVO) nachkommt. 

Unter Beachtung der Grundsätze der Notwendigkeit und der Verhältnismäßigkeit muss er sich auf das strikte Minimum möglicher Verarbeitungen von personenbezogenen Daten beschränken und deren Verwendung zu anderen Zwecken als dem Nachweis des Vorliegens einer Schwachstelle, dem Nachweis der Realität seiner Handlungen und der Übermittlung dieser Informationen an die zuständige Organisation und an das ZCB ausschließen. Wenn der Nachweis einer Schwachstelle mit einer begrenzten Menge personenbezogener Daten möglich ist, müssen nicht alle zugänglichen Daten verarbeitet oder gespeichert werden.

Insbesondere muss der Melder sicherstellen, dass die von ihm zu verarbeitenden Daten mit einem den Risiken angemessenen Sicherheitsniveau gespeichert werden (vorzugsweise verschlüsselt und anonymisiert) und dass diese Daten unmittelbar nach Beendigung der Verarbeitung gelöscht werden (bis zum Ende des Meldeverfahrens oder, im Falle einer Anfechtung oder eines Gerichtsverfahrens, bis zum Ende des Verfahrens).

Im Falle eines möglichen Verlusts personenbezogener Daten, der ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, muss der Meldende auch die zuständige Organisation und die Datenschutzbehörde (DSB) so schnell wie möglich, spätestens jedoch 72 Stunden, nachdem er davon Kenntnis erlangt hat, informieren (siehe Erläuterungen und das erforderliche Verfahren auf der DSB-Website).

Verarbeitung personenbezogener Daten durch die betroffene Organisation

Wenn eine Organisation vom ZCB über eine Schwachstelle informiert wird, muss sie prüfen, ob diese Schwachstelle nicht als Verstoß gegen den Schutz personenbezogener Daten anzusehen ist, der gemäß der DSGVO der zuständigen Datenschutzbehörde gemeldet werden muss.

Im Falle einer potenziellen Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnte, möchte das ZCB alle betroffenen Organisationen daran erinnern, dass es in der Verantwortung des für die Datenverarbeitung Verantwortlichen liegt, die Datenschutzbehörde (DSB) so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden, zu informieren (siehe Erläuterungen und erforderliches Verfahren auf der Website der DSB).