CCB-RICHTLINIEN ZUR KOORDINIERTEN OFFENLEGUNG VON SCHWACHSTELLEN
DER BELGISCHE STAAT, vertreten durch das Center for Cyber Security Belgium (CCB) mit Sitz in der Rue de la Loi 16, 1000 Brüssel.
1. Geltungsbereich der Richtlinie
Um die Effizienz und Sicherheit unserer Websites zu verbessern, hat das Center for Cyber Security Belgium (CCB) beschlossen, eine Richtlinie für die koordinierte Offenlegung von Schwachstellen zu implementieren. Auf diese Weise können externe Teilnehmer in guter Absicht mögliche Schwachstellen identifizieren bzw. dem CCB alle in dieser Hinsicht nützlichen Informationen bereitstellen.
Der Zugang zu den IT-Systemen der CCB-Websites wird im Rahmen dieser Richtlinie nur solchen Personen gewährt, die beabsichtigen, die Cyber-Sicherheit zu verbessern und uns über bestehende Schwachstellen zu informieren, wobei die in diesem Dokument enthaltenen Bestimmungen strikt einzuhalten sind.
Vorbehaltlich des Zwecks und der Bestimmungen dieser Richtlinie ist es dem Teilnehmer zudem gestattet zu versuchen, Daten in das betreffende IT-System einzuspeisen.
Unsere Richtlinie befasst sich mit Sicherheitslücken, die von Dritten ausgenutzt werden könnten oder die die ordnungsgemäße Funktionsweise unserer Produkte, Dienstleistungen, Netzwerke oder IT-Systeme beeinträchtigen könnten.
Liste der Produkte, Dienste oder Websites, die in den Geltungsbereich dieser Richtlinie fallen:
Systeme, die von Dritten abhängen, fallen nicht in den Geltungsbereich dieser Richtlinie, es sei denn, diese Dritten willigen vorab in die Vorschriften dieser Richtlinie ein.
Wenn Sie Fragen zum Geltungsbereich dieser Richtlinie haben, wenden Sie sich bitte an die Rechtsabteilung des CCB (vulnerabilitydisclosure[at]ccb.belgium.be).
2. Gegenseitige Verpflichtungen der Parteien
A. Verhältnismäßigkeit
Der Teilnehmer verpflichtet sich, bei all seinen Handlungen den Grundsatz der Verhältnismäßigkeit strikt zu wahren, d. h. die Verfügbarkeit der über das System angebotenen Dienste nicht zu unterbrechen und die Schwachstelle nicht über das hinaus auszunutzen, was zum Nachweis der Sicherheitslücke unbedingt erforderlich ist. Seine Handlungsweise muss angemessen bleiben: D. h., wenn das Sicherheitsproblem in kleinem Maßstab nachgewiesen werden kann, besteht keine Notwendigkeit diesen weiter auszudehnen.
B. Verbotene Maßnahmen
Folgende Maßnahmen sind dem Teilnehmer untersagt:
- Kopieren, Ändern oder Löschen von Daten aus dem IT-System
- Ändern der Parameter des IT-Systems
- Installation von Malware: Virus, Wurm, Trojanisches Pferd, usw.
- „Distributed Denial of Service“-Angriffe (DDOS)
- „Social Engineering“-Angriffe
- Phishing-Angriffe
- Angriffe mithilfe von Junk-Mail (Spamming)
- Diebstahl von Passwörtern oder „Brute-Force“-Angriffe
- Installieren einer Vorrichtung zum Abfangen, zur absichtlichen Kenntnisnahme oder zur Aufzeichnung von (elektronischen) Mitteilungen, die der Öffentlichkeit nicht zugänglich sind
- Abfangen, Aufzeichnen oder die absichtliche Kenntnisnahme einer nicht öffentlich zugänglichen (elektronischen) Mitteilung
- Die absichtliche Verwendung, der Besitz, die Mitteilung oder Verbreitung des Inhalts von nicht öffentlich zugänglichen Mitteilungen oder von Daten aus einem IT-System, von denen der Teilnehmer unter normalen Umständen hätte wissen müssen, dass sie unrechtmäßig erlangt wurden.
C. Vertraulichkeit
Unter keinen Umständen darf der Teilnehmer ohne unsere vorherige ausdrückliche Zustimmung Informationen, die im Rahmen unserer Richtlinie erfasst wurden, an Dritte weitergeben oder diesen zugänglich machen.
Es ist auch nicht gestattet, IT-Daten, Kommunikations- oder persönliche Daten an Dritte zu übermitteln oder diesen zugänglich zu machen.
Unsere Richtlinie zielt nicht darauf ab, die absichtliche Kenntnisnahme des Inhalts von IT-Daten, Kommunikations- oder persönlichen Daten zu gestatten, wobei eine solche Kenntnisnahme nur rein zufällig im Zusammenhang mit der Aufdeckung von Schwachstellen erfolgen darf.
Wenn der Teilnehmer die Unterstützung einer dritten Partei bei der Durchführung seiner Suchbemühungen wünscht, muss er sicherstellen, dass die dritte Partei diese Richtlinie zuvor zur Kenntnis genommen hat und sich im Rahmen ihrer Mitwirkung bereit erklärt, deren Bedingungen, einschließlich der Vertraulichkeitsbestimmungen, zu respektieren.
D. Ausführung nach Treu und Glauben
Das CCB verpflichtet sich, diese Richtlinien nach Treu und Glauben umzusetzen und keine zivil- oder strafrechtlichen Schritte gegen einen Teilnehmer einzuleiten, der sich gewissenhaft an diese Bestimmungen gehalten und die betreffenden IT-Systeme nicht mutwillig beschädigt hat.
Der Teilnehmer darf weder in betrügerischer Absicht noch mit Schadensvorsatz handeln, ebenso wenig darf er das besuchte System oder dessen Daten nutzen oder beschädigen wollen.
Bei Unklarheiten bezüglich der Bestimmungen unserer Richtlinie muss der Teilnehmer vorab unsere Kontaktstelle ansprechen und vor Aufnahme seiner Tätigkeit eine schriftliche Antwort abwarten.
E. Verarbeitung personenbezogener Daten
Eine koordinierte Offenlegungspolitik bezweckt nicht, in erster Linie und willentlich personenbezogene Daten zu verarbeiten. Sofern dies nicht zum Nachweis einer Schwachstelle erforderlich ist, darf der Teilnehmer nicht auf personenbezogene Daten zugreifen, sie abrufen oder speichern.
Es ist jedoch möglich, dass der Teilnehmer, und sei es per Zufall, Zugang zu personenbezogenen Daten erlangt, die in dem betreffenden System gespeichert, verarbeitet oder übertragen werden. Es kann auch erforderlich sein, dass der Teilnehmer im Zusammenhang mit dem Aufspüren von Schwachstellen vorübergehend personenbezogene Daten abfragen, abrufen oder verwenden muss. In diesem Fall muss der Teilnehmer den Datenschutzbeauftragten des CCB benachrichtigen: privacy[at]ccb.belgium.be.
Bei der Verarbeitung solcher Daten verpflichtet sich der Teilnehmer, die gesetzlichen Verpflichtungen zum Schutz personenbezogener Daten [1] und die Bestimmungen dieser Richtlinie einzuhalten.
Jegliche Verarbeitung personenbezogener Daten zu einem anderen Zweck als dem Aufspüren von Schwachstellen in Systemen, Anlagen oder Produkten des CCB ist ausgeschlossen.
Der Teilnehmer darf die verarbeiteten personenbezogenen Daten nicht länger als notwendig speichern. Während dieses Zeitraums muss der Teilnehmer sicherstellen, dass diese Daten mit einem den Risiken angemessenen Sicherheitsniveau (vorzugsweise verschlüsselt) gespeichert werden. Nach Ablauf der Teilnahme an diesem Projekt müssen diese Daten sofort gelöscht werden.
Zudem muss der Teilnehmer uns so schnell wie möglich nach Kenntnisnahme über den Verlust von persönlichen Daten informieren.
[1] Europäische Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGV Datenschutz-Grundverordnung)
3. Wie meldet man Sicherheitslücken?
A. Kontaktstellen
Sie dürfen die entdeckten Informationen ausschließlich an folgende E-Mail-Adresse senden: vulnerabilityreport[at]ccb.belgium.be
und/oder folgendes Formular ausfüllen:
Das ausgefüllte Formular muss uns im Word- oder PDF-Format (aber nicht in gescannter Form) zugeschickt werden. Es muss Passwort- oder ZIP-geschützt sein (um eine mögliche Blockierung durch unsere Anti-Viren-Filter zu vermeiden).
Die Gesamtgröße der Datei darf 7 MB nicht überschreiten.
Bitte benutzen Sie, soweit möglich, die folgenden gesicherten Kommunikationsmittel:
PGP Key ID: 0x31A9EA55
Type: RSA-4096 Key
Fingerprint: 8E98 3C10 BC8D 23BA EE1B 9CB9 670C A658 31A9 EA55
Sichern Sie das Formular mit einem Passwort, das Sie uns per E-Mail.
B. Mitteilung der Informationen
Bitte senden Sie uns die entsprechenden Informationen so bald wie möglich, nachdem Sie diese entdeckt haben.
Teilen Sie uns ausreichende Informationen mit, damit wir das Problem reproduzieren und so schnell wie möglich lösen können.
Bitte stellen Sie uns diese Informationen auf Niederländisch, Französisch, Deutsch oder Englisch zur Verfügung.
4. Prozedere
A. Meldung
Der Teilnehmer verpflichtet sich, der Kontaktstelle oder dem in Punkt 3 A. dieser Richtlinie genannten Koordinator so bald wie möglich die Informationen über etwaige Schwachstellen zu übermitteln. Dazu muss der Teilnehmer die genannten gesicherten Kommunikationsmittel verwenden.
Bei Erhalt einer Mitteilung verpflichtet sich das CCB, dem Teilnehmer innerhalb einer angemessenen Frist eine Empfangsbestätigung zu senden, die eine interne Referenz, eine Erinnerung an seine Vertraulichkeitsverpflichtung und die nächsten Schritte des Prozedere enthält.
B. Kommunikation
Die Parteien verpflichten sich, alles daranzusetzen, um eine kontinuierliche und effiziente Kommunikation zu gewährleisten. Die vom Teilnehmer bereitgestellten Informationen können sehr nützlich sein, um Schwachstellen zu erkennen und zu beheben.
C. Aufspüren
Während der Aufspürphase wird das CCB die Umgebung und die beschriebene Vorgehensweise reproduzieren, um die mitgeteilten Informationen zu überprüfen.
Das CCB verpflichtet sich, den Teilnehmer regelmäßig über die Ergebnisse der Überprüfungen und die aufgrund seiner Meldung getroffenen Maßnahmen zu informieren.
Im Verlauf dieses Prozedere stellen die Parteien sicher, dass sie ähnliche oder verwandte Meldungen miteinbeziehen, das Risiko und den Schweregrad der Schwachstelle bewerten und alle anderen eventuell betroffenen Produkte oder Systeme identifizieren.
D. Entwicklung einer Lösung
Das Ziel der Offenlegungspolitik ist es, die Entwicklung einer Lösung zu ermöglichen, um die Schwachstelle des IT-Systems zu beseitigen, bevor ein Schaden entsteht.
Im Rahmen des Möglichen und unter Berücksichtigung der Kosten und der zur Verfügung stehenden Expertise sowie je nach Schwere der Risiken, die die Nutzer der betreffenden Systeme eingehen, wird das CCB versuchen, mit seinen Unterauftragnehmern schnellstmöglich eine Lösung zu finden.
In dieser Phase verpflichten sich das CCB und seine Unterauftragnehmer, einerseits positive Tests durchzuführen, um zu überprüfen, ob die Lösung korrekt funktioniert, und andererseits negative Tests, um sicherzustellen, dass die Lösung andere bestehende Funktionalitäten nicht beeinträchtigt.
E. Eventuelle Veröffentlichung
Das CCB wird in Absprache mit dem Teilnehmer entscheiden, wie die Existenz der Schwachstelle möglicherweise veröffentlicht wird. Diese Veröffentlichung erfolgt zeitgleich mit der Bekanntgabe entsprechender Sicherheitshinweise auf der Website (oder per E-Mail) in einer Update-Beschreibung für die Systemnutzer.
Das CCB verpflichtet sich zudem, das Feedback der Nutzer zur Implementierung der Lösung zu berücksichtigen und die notwendigen Korrekturmaßnahmen zu ergreifen, um alle durch die Lösung verursachten Probleme abzustellen, einschließlich derer, die sich auf die Kompatibilität mit anderen Produkten oder Diensten beziehen.
F. Anwendbares Recht
Für Streitigkeiten im Zusammenhang mit der Anwendung dieser Richtlinie gilt belgisches Recht.
G. Gültigkeitsdauer
Die Bestimmungen der Richtlinie gelten ab dem 7.11.2019 solange, bis sie vom CCB gegebenenfalls geändert oder aufgehoben werden. Diese Änderungen beziehungsweise die Aufhebung dieser Bestimmungen werden auf der Website des CCB veröffentlicht und gelten automatisch ab dem 30. Tag nach ihrer Veröffentlichung.