Koordinierten Offenlegung von Schwachstellen (CVD)

Eine CVD-Politik oder ein Belohnungsprogramm/Bug-Bounty-Programm für die Aufdeckung von Schwachstellen ist eine Vertragsform, bei der die wesentlichen Vertragsbestimmungen von der für ein bestimmtes Informationssystem verantwortlichen Organisation festgelegt und anschließend vom Teilnehmer akzeptiert werden, wenn dieser sich freiwillig zur Teilnahme an dem eingerichteten Programm entscheidet. Die Einführung einer solchen Politik klärt die Rechtslage der Teilnehmer, indem sie ihnen ermöglicht, vorbehaltlich der Einhaltung der in der Politik festgelegten Bedingungen nachzuweisen, dass sie über eine vorherige Genehmigung für den Zugang zu den betreffenden IT-Systemen verfügen und somit kein rechtswidriges Eindringen vorliegt (siehe Leitfaden zur Politik zur koordinierten Offenlegung von Schwachstellen. Teil II: Rechtliche Aspekte).

Seit der Einführung des gesetzlichen Meldeverfahrens im Jahr 2023 kann das ZCB auch Meldungen über potenzielle Schwachstellen bei IKT-Produkten oder -Diensten erhalten, die dem belgischen Gesetz unterliegen (auch wenn die Organisation keine CVD-Politik oder Bug-Bounty-Programme hat). Dieses gesetzliche Verfahren kann auch im Rahmen einer bestehenden CVD-Politik oder eines Belohnungsprogramms angewendet werden. Wenn der Forscher jedoch von dem Rechtsschutz profitieren möchte, muss er bestimmte Bedingungen einhalten, darunter die strikte Beschränkung auf notwendige und verhältnismäßige Maßnahmen, das Fehlen betrügerischer oder böswilliger Absicht sowie die Benachrichtigung und Meldung an die zuständige Organisation und an das ZCB. Weitere Informationen finden Sie auf unserer Seite Meldung von Schwachstellen an das ZCB.

Außerhalb des oben genannten Verfahrens ist es nicht legal, Informationen über Schwachstellen in Computern oder „Exploits” (Computerprogramme, die die Schwachstelle ausnutzen), die durch unbefugtes Eindringen in ein Computersystem erlangt wurden, zu speichern (weiterzugeben oder zu verkaufen), selbst wenn die betreffende Person nicht für das unbefugte Eindringen verantwortlich ist.

Die Nutzung des gesetzlichen Verfahrens zur Meldung von Schwachstellen ist nicht verpflichtend, wird jedoch dringend empfohlen, da der Forscher dadurch gegebenenfalls rechtlichen Schutz (nach straf- und zivilrechtlichem Recht) genießt. Wenn der Forscher weder die Bedingungen des gesetzlichen Verfahrens zur Meldung von Schwachstellen noch die der geltenden CVD-Politik/Bug-Bounty-Richtlinie einhält, kann er bei der Suche und Meldung einer Schwachstelle möglicherweise haften.

Es ist zu beachten, dass Forscher, die während ihrer Forschungsaktivitäten keine strafbaren Handlungen begehen (wie beispielsweise die in Punkt C. auf unserer Seite Meldung von Schwachstellen an das ZCB genannten), nicht unbedingt den Schutz des gesetzlichen Rahmens benötigen, da sie sich nicht strafbar machen.

Eine CVD-Politik ist ein im Voraus von einer für Informationssysteme verantwortlichen Organisation festgelegtes Regelwerk, das Teilnehmer (oder „ethische Hacker“) mit guten Absichten dazu berechtigt, nach potenziellen Schwachstellen in ihren Systemen zu suchen oder relevante Informationen zu diesem Thema weiterzugeben. Diese Regeln, die generell auf einer Website veröffentlicht werden, bilden einen rechtlichen Rahmen für die Zusammenarbeit zwischen der verantwortlichen Organisation und den Teilnehmern der Politik. Insbesondere müssen sie die Vertraulichkeit der ausgetauschten Informationen gewährleisten und einen verantwortungsvollen und koordinierten Rahmen für die Offenlegung entdeckter Schwachstellen bieten. Der Begriff „Offenlegung” sollte daher nicht zwangsläufig als öffentliche Bekanntgabe der Schwachstelle verstanden werden, sondern zumindest als Offenlegung gegenüber der verantwortlichen Organisation durch den Teilnehmer.

Während die Offenlegung der Schwachstelle durch den Teilnehmer gegenüber der verantwortlichen Organisation obligatorisch ist, ist die öffentliche Offenlegung/Publikation der Schwachstelle (durch den Teilnehmer oder die betroffene Organisation) im Rahmen einer CVD-Politik hingegen freiwillig. Dies liegt daran, dass eine Schwachstelle zu einem unerwarteten oder unerwünschten Ereignis führen und von böswilligen Dritten ausgenutzt werden könnte, um die Integrität, Authentizität, Vertraulichkeit oder Verfügbarkeit eines Systems zu verletzen oder Schaden zu verursachen.

In Belgien ist es auch zulässig, potenzielle Schwachstellen zu suchen und zu melden, die ein IKT-Produkt (ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems) oder einen IKT-Dienst (einen Dienst, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht) betreffen, die dem belgischen Gesetz unterliegen (Produkte, Systeme oder Netzwerke die sich in Belgien befinden), wenn eine Organisation keine CVD-Politik hat. In diesem Zusammenhang kann der Forscher die öffentliche Offenlegung seiner Ergebnisse gegenüber dem ZCB beantragen. Weitere Informationen hierzu finden Sie auf unserer Seite Meldung von Schwachstellen an das ZCB.

Ein Bug-Bounty-Programm ist eine Reihe von Regeln, die von einer Organisation festgelegt werden, um Teilnehmer zu belohnen, die Schwachstellen in den von ihr verwendeten Technologien identifizieren. Diese Belohnung kann in Form einer Geldsumme, eines Geschenks oder einer öffentlichen Anerkennung (Rangliste der besten Teilnehmer, Veröffentlichung, Konferenz usw.) erfolgen. Es handelt sich um eine Form der Politik zur koordinierten Offenlegung von Schwachstellen, bei der die Teilnehmer entsprechend der Anzahl, Bedeutung oder Qualität der bereitgestellten Informationen belohnt werden. Diese Form der Politik ist für potenzielle Teilnehmer attraktiver und bietet Organisationen oft bessere Ergebnisse. Eine Organisation kann auch eine Bug-Bounty-Plattform hinzuziehen, um technische und administrative Unterstützung für die Verwaltung ihres Programms zur Belohnung für die Aufdeckung von Schwachstellen zu erhalten (Koordinator-Rolle).

Um die Teilnehmer zu belohnen, die das gesetzliche Verfahren zur Meldung von Schwachstellen nutzen, hat das ZCB auf seiner Website eine Wall of Fame eingerichtet.

Ein Koordinator ist eine natürliche oder juristische Person, die als Vermittler zwischen dem Teilnehmer und der für ein Informationssystem verantwortlichen Organisation fungiert, indem sie logistische, technische und rechtliche Unterstützung oder andere Funktionen bereitstellt, um deren Zusammenarbeit zu erleichtern. 

In seiner Rolle als CVD-Koordinator in Belgien (auch außerhalb des gesetzlichen Verfahrens zur Meldung von Schwachstellen) fungiert das Zentrum für Cybersicherheit Belgien (ZCB) als vertrauenswürdiger Vermittler, indem es auf Wunsch einer der beiden Parteien die Interaktion zwischen der natürlichen oder juristischen Person, die eine potenzielle Schwachstelle meldet, und dem Hersteller oder Lieferanten der potenziell anfälligen IKT-Produkte oder -Dienste erleichtert. Forscher können sich über die auf der Seite Meldung von Schwachstellen an das ZCB angegebene E-Mail-Adresse an das ZCB wenden.

Ein CVD-Teilnehmer, Forscher oder „ethischer Hacker“ ist eine Person, die mit der Genehmigung der verantwortlichen Organisation zur Verbesserung der Sicherheit von Informationssystemen beitragen möchte. Sie kann beispielsweise Penetrationstests durchführen oder andere Methoden anwenden, um die Sicherheit von Informationssystemen zu überprüfen. Sie sind das Gegenteil von Cyberkriminellen, die ihre Fähigkeiten nutzen, um mit böswilliger Absicht unbefugten Zugang zu einem System zu erlangen. Der Teilnehmer seinerseits beabsichtigt, die für das Informationssystem verantwortliche Person oder einen Koordinator über die entdeckten Schwachstellen zu informieren, damit diese beseitigt werden können.

Eine CVD-Politik kann der verantwortlichen Organisation auf faire und rechtmäßige Weise Informationen über Schwachstellen in ihren Systemen liefern, sodass sie geeignete und rechtzeitige Maßnahmen ergreifen kann. Auf diese Weise kann sie die Risiken und potenziellen Schäden, die diese Schwachstellen verursachen könnten, wirksam verhindern oder so weit wie möglich begrenzen. Neben anderen Maßnahmen ist die Implementierung einer CVD-Politik eine geeignete technische und organisatorische Maßnahme, um Sicherheitsvorfälle zu verhindern, die die Sicherheit ihrer Netzwerke und Informationssysteme (und ihrer personenbezogenen Daten) gefährden könnten. Sie hat den unbestreitbaren Vorteil, dass Schwachstellen identifiziert und behoben werden können, bevor ein Sicherheitsvorfall eintritt.

Die Attraktivität und Wirksamkeit der Politik werden natürlich erhöht, wenn die verantwortliche Organisation beschließt, die Teilnehmer entsprechend der Bedeutung und Qualität der im Rahmen eines Bug-Bounty-Programms bereitgestellten Informationen zu belohnen. Selbst wenn die Organisation Belohnungen gewährt und einen externen Koordinator (Ethical Hacking Platform) einsetzt, sind die mit der Implementierung einer CVD-Politik verbundenen Kosten in der Regel besser kontrollierbar (und geringer) als die Kosten, die normalerweise mit der Durchführung von Audits durch externe Unternehmen verbunden sind. Die Gewährung einer Belohnung im Rahmen eines Bug-Bounty-Programms ergibt sich nämlich aus einer Ergebnispflicht des Teilnehmers, während der externe Prüfer in der Regel nur eine Mittelverpflichtung hat. Letzterer sollte daher für alle seine Leistungen vergütet werden, auch wenn er bei seinen Recherchen keine oder nur geringfügige Schwachstellen findet. Internationale technische Standards im Bereich der IT-Sicherheit empfehlen ausdrücklich die Implementierung einer CVD-Politik (siehe beispielsweise die internationalen Normen ISO/IEC 29147 und 30111).

Die Einführung einer CVD-Politik fördert auch das Wissen und die Forschung im Bereich der Cybersicherheit. Dieser Ansatz beinhaltet eine Verpflichtung der betroffenen Organisation, die von den Teilnehmern bereitgestellten Informationen zu verarbeiten und zu versuchen, die festgestellten Schwachstellen zu beheben oder zumindest die Nutzer über die damit verbundenen Risiken zu informieren. Diese Verpflichtung kann auch ein Marketingargument darstellen und in der Kommunikation der Organisation hervorgehoben werden. Das Vertrauen in Informationssysteme ist zweifellos ein wichtiger Faktor für Nutzer und Verbraucher. Eine CVD-Politik ermöglicht die Schaffung eines gesetzlichen Rahmens zwischen ethischen Hackern und der Organisation, der die Vertraulichkeit von Informationen stärkt, die bestmöglichen Konditionen für eine etwaige Offenlegung schafft und mögliche Schäden für den Ruf der Organisation vermeidet. 

Schließlich ermöglicht die Implementierung einer CVD-Politik den Nachweis der Bemühungen der Organisation zur Einhaltung ihrer gesetzlichen Verpflichtungen zur Sicherung ihrer Netzwerke und Informationssysteme, insbesondere gemäß der EU-Datenschutz-Grundverordnung („DSGVO“), dem Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (im Folgenden „NIS2-Gesetz“), den zivilgesetzlichen Haftungsvorschriften, dem Wirtschaftsgesetzbuch usw. (siehe Leitfaden für eine Politik zur koordinierten Offenlegung von Schwachstellen. Teil I: Bewährte Verfahren).

Wesentliche und wichtige Einrichtungen gemäß dem NIS2-Gesetz sind sogar verpflichtet, eine eigene CVD-Politik zu verabschieden, die ihre Netzwerke und Informationssysteme abdeckt (Art. 30, § 3, 11°).

Mit dem gesetzlichen Verfahren zur Meldung von Schwachstellen sind die Organisation und der ethische Hacker bei der Suche nach Schwachstellen nicht allein auf eine CVD-Politik oder ein Bug-Bounty-Programm angewiesen. Ethische Hacker können das gesetzliche Verfahren auf der Website der ZCB nutzen, sofern sie die aufgeführten Bedingungen einhalten.

Mit einer CVD-Politik ist eine Organisation jedoch besser auf die Bearbeitung von Schwachstellenmeldungen vorbereitet und verfügt über einen eigenen Prozess, ohne dass zwangsläufig das ZCB eingeschaltet werden muss. Allerdings kann ein Teilnehmer auch bei Vorliegen einer CVD-Politik das gesetzliche Verfahren zur Meldung von Schwachstellen in Anspruch nehmen, um sicherzustellen, dass er angemessen geschützt ist. 

Darüber hinaus ermöglicht eine CVD-Politik auch, mehr Teilnehmer durch das Angebot von Belohnungen oder Bug-Bounties zu gewinnen, was im Rahmen des gesetzlichen Meldeverfahrens nicht vorgesehen ist. 

Ein Teilnehmer an einer CVD-Politik (oder einem Bug-Bounty-Programm) sollte den Anwendungsbereich und die Bedingungen der Politik der für die betreffenden IKT-Produkte oder -Dienstleistungen verantwortlichen Organisation einhalten. 

Alternativ oder in Kombination mit der CVD-Politik kann ein Forscher jederzeit das rechtliche Verfahren zur Meldung von Schwachstellen in Anspruch nehmen. In diesem Fall sollte der Teilnehmer alle auf der Seite Meldung von Schwachstellen an das ZCB beschriebenen Bedingungen einhalten. 

Außerhalb dieser Situationen genießt ein Forscher keinen gesetzlichen Schutz und kann möglicherweise für seine Aktivitäten im Zusammenhang mit der Schwachstellenforschung zur Verantwortung gezogen werden.

Der Zugang zum Beruf des CVD-Teilnehmers oder „ethischen Hackers“ ist nicht geregelt. Jeder kann sich daher als „ethischer Hacker“ bezeichnen. Ethische Hacker können ihre Fähigkeiten jedoch durch Diplome, Schulungen, Berufserfahrung oder durch das Bestehen von Tests bei der zuständigen Organisation (oder beispielsweise einem Koordinator, der eine Bug-Bounty-Plattform verwaltet) nachweisen. Es gibt auch anerkannte Ausbildungsgänge in diesem Bereich (siehe insbesondere die Zertifizierung „Certified Ethical Hacker – (CEH)”, die vom International Council of Electronic Commerce Consultants (EC-Council) organisiert und vom American National Standards Institute (ANSI) anerkannt wird).

Die besten ethischen Hacker, die mit dem ZCB zusammenarbeiten, werden auf unserer Wall of Fame vorgestellt. 

Wenn es keine CVD-Politik oder kein Bug-Bounty-/Belohnungsprogramm für die Aufdeckung von Schwachstellen gibt, kann der ethische Hacker das rechtliche Verfahren zur Meldung von Schwachstellen nutzen, das auf unserer Website Meldung von Schwachstellen an das ZCB beschrieben ist.

Der Zweck der Teilnahme an einer CVD-Politik besteht nicht in der absichtlichen Verarbeitung personenbezogener Daten, jedoch ist es möglich, dass der Teilnehmer im Rahmen seiner Schwachstellenforschung auch zufällig mit personenbezogenen Daten in Kontakt kommt. Die Verarbeitung personenbezogener Daten hat einen breiten Anwendungsbereich und umfasst insbesondere die Speicherung, Änderung, Abfrage, Nutzung oder Offenlegung von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen könnten.

Ob eine Person „identifizierbar“ ist, hängt nicht davon ab, ob der für die Datenverarbeitung Verantwortliche die Person identifizieren möchte, sondern davon, ob die Person anhand der Daten (z. B. E-Mail-Adresse, Identifikationsnummer, Online-Kennung, IP-Adresse oder Standortdaten) direkt oder indirekt identifiziert werden kann.

Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Da die CVD-Politik eine Form des Vertrags darstellt, der den ethischen Hacker an die verantwortliche Organisation bindet, ist es sinnvoll, die Pflichten der Parteien in Bezug auf die Verarbeitung personenbezogener Daten, insbesondere die Zwecke und wesentlichen Mittel jeder Verarbeitung im Rahmen dieser Politik, festzulegen (siehe unseren Leitfaden – Teil I: Bewährte Verfahren und Teil II: Rechtliche Aspekte).

Im Rahmen des gesetzlichen Verfahrens werden auf der Website des ZCB die wichtigsten Informationen zur Verarbeitung personenbezogener Daten bereitgestellt.

Gemäß Art. 22 und 23 des NIS2-Gesetzes kann jede natürliche oder juristische Person, auch anonym, das Vorhandensein einer potenziellen Schwachstelle melden, die ein IKT-Produkt (ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems) oder einen IKT-Dienst (einen Dienst, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht) betrifft, das dem belgischen Gesetz unterliegt (Produkte, Systeme oder Netzwerke, die sich in Belgien befinden).

Eine Schwachstelle ist definiert als „eine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann“ (Art. 8, 15° NIS2-Gesetz).

Dieses Verfahren lässt die Anwendung anderer rechtlicher Verfahren (in Bezug auf Whistleblower, DSGVO, CRA usw.) unberührt. Wenn die Schwachstellenforschung an Netzwerken oder Informationssystemen durchgeführt wird, die sich ganz oder teilweise außerhalb des belgischen Hoheitsgebiets befinden, schützt der vorliegende Rechtsrahmen den Forscher nur in Belgien und nicht in anderen Ländern.

Um bei der Suche und Meldung einer Schwachstelle in den Genuss des gesetzlichen Schutzes zu kommen, müssen die folgenden Bedingungen erfüllt sein (Art. 23 NIS2-Gesetz):

• ohne betrügerische Absicht oder Schadensabsicht handeln;
• innerhalb von 24 Stunden nach Entdeckung einer potenziellen Schwachstelle eine vereinfachte Meldung (mit Angabe des betroffenen Systems und einer einfachen Beschreibung der potenziellen Schwachstelle) an die für das System verantwortliche Organisation und an das ZCB senden;

Diese Frist beginnt mit dem Zeitpunkt, zu dem die Person eine potenzielle Schwachstelle vernünftigerweise hätte kennen oder entdecken müssen (siehe Definition), d. h. nach einer angemessenen Untersuchungs- und Validierungsphase zur Feststellung einer potenziellen Schwachstelle.

• innerhalb von 72 Stunden nach Entdeckung einer potenziellen Schwachstelle eine vollständige Meldung an die für das System verantwortliche Organisation (gemäß deren Meldeverfahren, sofern vorhanden) und an das ZCB gemäß dem auf ihrer Website beschriebenen Verfahren senden;
• nicht über das hinausgehen, was notwendig und angemessen ist, um das Vorhandensein einer Schwachstelle zu überprüfen und zu melden;

Alle Maßnahmen des Forschers müssen sich strikt auf das beschränken, was notwendig und verhältnismäßig ist, um die Entdeckung und Meldung einer Schwachstelle in einem Netzwerk- oder Informationssystem zu ermöglichen. Wenn der Nachweis in kleinem Maßstab möglich ist, darf er seine Forschung nicht weiter ausdehnen. Ebenso ist es nicht gerechtfertigt, die Verfügbarkeit der von den betroffenen Geräten bereitgestellten Dienste zu stören. Auf seiner Website nennt das ZCB einige Maßnahmen (nicht erschöpfende Liste), die als unverhältnismäßig und/oder unnötig angesehen werden können.

• Keine Veröffentlichung von Informationen über die Schwachstelle und die anfälligen Systeme ohne Zustimmung des ZCB.

Eine zusätzliche Bedingung (6°) gilt für die Informationssysteme (sowie die von oder im Auftrag dieser Systeme verarbeiteten Informationen) bestimmter Organisationen (SGRS/ADIV, VSSE, OCAM/OCAD, Verteidigungsministerium, Polizeidienste, belgische diplomatische und konsularische Vertretungen außerhalb der EU, Justizbehörden, Nuklearanlagen der Klasse I, NCCN und ZCB) gilt eine zusätzliche Bedingung (6°): In diesem Fall muss der Forscher die vorherige schriftliche Zustimmung zur Suche nach potenziellen Schwachstellen einholen (eine solche Zustimmung kann beispielsweise in Form einer CVD-Politik erfolgen).

Weitere Informationen zu diesen Bedingungen finden Sie auf der Seite Meldung von Schwachstellen an das ZCB.

Um von dem zivil- und strafrechtlichen Schutz des Rechtsrahmens profitieren zu können, muss der Meldende alle verschiedenen Bedingungen (einschließlich Fristen) einhalten, da er sonst mit gesetzlichen (strafgesetzlichen oder zivilgesetzlichen) Konsequenzen rechnen muss (falls es zu straf- oder zivilrechtlichen Verstößen gekommen ist). Die Nutzung des Verfahrens zur Meldung von Schwachstellen bleibt jedoch freiwillig (der Forscher könnte stattdessen ein anwendbares CVD- oder Bug-Bounty-Verfahren nutzen).

Sofern die Voraussetzungen erfüllt sind, kann für eine begrenzte Liste von Straftaten gemäß den Artikeln 314bis, 550bis und 550ter des Strafgesetzbuches (neue Artikel 342, 343, 352, 524 bis 533) und des Artikels 145 des Gesetzes vom 13. Juni 2005 über elektronische Kommunikation, ein Rechtfertigungsgrund gewährt werden.

Die Weitergabe von Informationen über eine entdeckte potenzielle Schwachstelle im beruflichen Kontext würde ebenfalls nicht gegen eine Vertraulichkeits- oder Berufsgeheimnispflicht verstoßen.

Jede andere Haftung des Meldenden, die sich aus Handlungen oder Unterlassungen ergibt, die für den Abschluss des Meldeverfahrens nicht erforderlich sind und nicht allen gesetzlichen Anforderungen entsprechen, bleibt unberührt. Solche Handlungen oder Unterlassungen können weiterhin straf- und zivilrechtlich geahndet werden.

Es ist wichtig zu beachten, dass dieser Rechtsschutz auf die Anwendung des belgischen Gesetzes beschränkt ist und keinen Schutz vor möglichen Verstößen gegen das Recht anderer Länder bietet.

Wenn die gesetzlichen Voraussetzungen erfüllt sind und der Forscher dies wünscht, verpflichtet sich das ZCB, die Vertraulichkeit seiner Identität zu wahren.

Um eine Schwachstelle an das ZCB zu melden, muss ein ethischer Hacker das auf der Seite Meldung von Schwachstellen an das ZCB beschriebene Verfahren befolgen.

Dazu muss er zunächst innerhalb von 24 Stunden nach Entdeckung einer potenziellen Schwachstelle ein vereinfachtes Meldeformular mit einigen vorläufigen Informationen über die Schwachstelle ausfüllen und anschließend innerhalb von 72 Stunden nach Entdeckung einer potenziellen Schwachstelle ein vollständiges Meldeformular mit weiteren Details zu den Feststellungen ausfüllen. Diese Formulare werden nach Möglichkeit verschlüsselt und dann über die auf der oben genannten Website angegebene E-Mail-Adresse an das ZCB gesendet.

Eine rechtliche Voraussetzung ist, dass der Forscher ohne Zustimmung der ZCB keine Informationen über die Schwachstelle und die betroffenen Systeme öffentlich bekannt geben darf. Der Forscher muss daher das ZCB formell um die Genehmigung zur Veröffentlichung seiner Ergebnisse bitten. Er kann seine Anfrage an die im Verfahren zur Meldung von Schwachstellen angegebene E-Mail-Adresse senden.

Sobald die Anfrage beim ZCB eingegangen ist, beginnt eine Frist von 90 Tagen. Wenn der Forscher nach Ablauf dieser Frist von 90 Tagen keine Ablehnung erhalten hat, kann er die Offenlegung als genehmigt betrachten.

Eine Entscheidung zur Genehmigung der Veröffentlichung bedeutet nicht, dass die Schwachstelle validiert vom ZCB wurde, sondern lediglich, dass das ZCB nicht über ausreichende Informationen verfügt, um die Offenlegung mit der Begründung abzulehnen, dass sie ein Risiko für die öffentliche Sicherheit (für die Informationssysteme der betroffenen Organisation oder anderer Organisationen) darstellt.

Das ZCB kann insbesondere die folgenden Elemente berücksichtigen, wenn es über die Genehmigung der Offenlegung einer Schwachstelle entscheidet (nicht erschöpfende Liste):

• die Schwere der Schwachstelle und das Ausmaß, in dem sie ausgenutzt werden kann;
• die Kritikalität der von der Schwachstelle betroffenen Organisationen (z. B. wesentliche oder wichtige Einrichtungen im Kontext von NIS2);
• das Ausmaß, in dem die Schwachstelle entdeckt werden kann, und die Wahrscheinlichkeit, dass sie von anderen ausgenutzt wird;
• die Implementierung einer Lösung auf den betroffenen Informationssystemen;
• ob die Schwachstelle validiert werden kann.

Wenn eine Organisation vom ZCB über eine Schwachstelle informiert wird, muss sie prüfen, ob diese Schwachstelle nicht als Verstoß gegen den Schutz personenbezogener Daten anzusehen ist, der gemäß der DSGVO der zuständigen Datenschutzbehörde gemeldet werden muss.

Im Falle einer potenziellen Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnte, möchte das ZCB alle betroffenen Organisationen daran erinnern, dass es in der Verantwortung des für die Datenverarbeitung Verantwortlichen liegt, die Datenschutzbehörde (DSB) so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden, zu informieren (siehe Erläuterungen und erforderliches Verfahren auf der Website der DSB).