Die Entdeckung und Meldung von Schwachstellen kann zivil- und strafrechtliche Folgen haben. Die damit verbundenen Risiken können reduziert werden, wenn Sie folgende Regeln beachten:
Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD):
- Besprechen Sie die entdeckte Sicherheitslücke während des CVD-Prozesses nur mit dem Anbieter, dem Systemeigner oder dem KAIO.
- Machen Sie die Schwachstelle nicht öffentlich, bevor die betroffenen Parteien genügend Zeit hatten das Problem zu beheben oder Sie sich mit allen Beteiligten inkl. dem KAIO geeinigt haben.
- Interagieren Sie nach einer Schwachstellenmeldung während des CVD-Prozesses nicht wiederholt mit dem System.
- Nutzen Sie Schwachstellen nicht über das für einen Proof of Concept Notwendige hinaus, um Daten herunterzuladen, zu ändern oder zu löschen.
- Versuchen Sie nicht, die Privilegien zu erhöhen oder ein System über das für einen Proof of Concept Notwendige hinaus zu erkunden.
- Exfiltrieren Sie keine Daten anderer Benutzer, testen Sie nur mit Ihren eigenen Daten.
- Versuchen Sie nicht, sich mit Brute-Force- oder Social-Engineering-Techniken Zugang zu einem System zu verschaffen.
- Verwenden Sie keine Denial-of-Service-Angriffe.
- Installieren Sie keine Malware oder Viren.
- Geben Sie wenn möglich in Ihrer Meldung an, welche IP-Adressen Sie beim Entdecken der Schwachstelle verwendet haben, damit potenzielle Ausnutzungen besser beurteilt und False Positives reduziert werden können.
- Teilen Sie dem KAIO mit, wenn Sie planen Ihre Feststellungen öffentlich zu machen (Bericht, Vortrag, Artikel usw.).
Was Sie von unserem CVD-Programm erwarten können:
- Wenn eine Schwachstelle in Bezug auf die Systeme des Kantons innerhalb der obgenannten Regeln und in gutem Glauben ohne betrügerische oder schädigende Absicht gemeldet wird, wird das KAIO keine zivil- oder strafrechtlichen Schritte gegen Sie einleiten.
- Sie können Ihre Meldung anonym einreichen.
- Das KAIO behandelt Meldungen vertraulich und gibt Personendaten der meldenden Parteien oder der Empfängerorganisation nur mit deren Zustimmung weiter.
- Sie erhalten innerhalb von 3 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung. Das KAIO wird die Meldung innerhalb von 5 Arbeitstagen triagieren.
- Bei Schwachstellen, die den Kanton betreffen, ist das KAIO bestrebt innerhalb von 60 Tagen nach der Meldung die Lösungsfindung zu koordinieren.
- Je nach betroffener Organisation und Art der Schwachstelle wird das KAIO die betroffene Organisation auf die Sicherheitslücke aufmerksam machen. Für das betroffene IT-System und allfällige Abhilfemassnahmen bleibt aber der Systemeigner zuständig.
- Das KAIO wird die meldende Partei nach Möglichkeit über die weitere Entwicklung und die Behebung der Schwachstelle auf dem Laufenden halten.
- Das CVD-Programm des KAIO bietet keine Entschädigung für Meldungen an.