FAQFrequently Asked Questions - VDPBwVulnerability Disclosure Policy der Bundeswehr

Die Vulnerability Disclosure Policy der Bundeswehr (VDPBwVulnerability Disclosure Policy der Bundeswehr) ist ein rechtlich abgestimmter Prozess zur verantwortungsvollen Offenlegung von gefundenen Schwachstellen bei der Bundeswehr durch ITInformationstechnik-Sicherheitsforschende. Eine monetäre Auslobung findet, im Gegensatz zu einem Bug Bounty, nicht statt.

Die Bundeswehr ist bemüht, die gemeldeten Schwachstellen so schnell wie möglich zu schließen. Nach dem Eingang einer Schwachstellenmeldung wird diese in den Regelprozess der VDPBwVulnerability Disclosure Policy der Bundeswehr aufgenommen. Hier kann es vorkommen, dass noch weitere Schwachstellen zur Bearbeitung in einer Warteschlange anstehen. Ihre Meldung wird zunächst auf Plausibilität geprüft. Wir müssen dazu gegebenenfalls auch mit dem jeweiligen ITInformationstechnik-Provider innerhalb oder außerhalb der BwBundeswehr Kontakt aufnehmen und den Sachverhalt klären und Mitigationsmaßnahmen planen und umsetzen. Bitte haben Sie ein wenig Geduld. Für den Fall, dass die Schwachstelle durch uns nicht reproduziert werden kann ist, sind Ihre Kontaktdaten für direkte Rückfragen nützlich.

Der verantwortungsvolle Umgang mit einer Schwachstelle bedeutet, dass Sie erst dann darüber berichten oder sich mit anderen austauschen, wenn die Schwachstelle geschlossen wurde oder nach 90 Tagen die Erlaubnis der Bundeswehr schriftlich dazu erhalten.

Üblich ist es, die Schwachstellenmeldung spätestens 90 Tage nach Eingang abzuschließen. Es kommt je nach Komplexität einer Schwachstelle aber auch vor, dass es wesentlich länger dauert. Bis zur Schließung der Schwachstelle dürfen Sie die Informationen darüber nicht mit anderen teilen oder anderweitig veröffentlichen, es sei denn es liegt bereits eine schriftliche Genehmigung der Bundeswehr vor.

Die Vulnerability Disclosure Policy der Bundeswehr (VDPBwVulnerability Disclosure Policy der Bundeswehr) erstreckt sich über alle Webauftritte und über das Internet erreichbare ITInformationstechnik-Systeme der Bundeswehr. Ob eine Internetpräsenz zur Bundeswehr gehört, entnehmen Sie dem Impressum. Wenn Sie nicht genau zuordnen können, ob es sich um ein Asset (Hard- und Software, Personen und Prozesse) der Bundeswehr handelt, reichen Sie Ihre Meldung über security@bundeswehr.org ein. Sollte nach unserer Bewertung die Schwachstelle nicht die Bundeswehr betreffen, leiten wir die Information anonymisiert an das BSIBundesamt für Sicherheit in der Informationstechnik weiter.

Es wird kein sogenannter „Scope“ veröffentlicht. Bei der VDPBwVulnerability Disclosure Policy der Bundeswehr handelt es sich nicht um ein Bug Bounty Programm mit einem festen Fokus. Vielmehr liegt unser Hauptaugenmerk auf dem verantwortungsvollen Umgang mit Schwachstellen in der ITInformationstechnik der Bundeswehr im Ganzen.

Grundsätzlich können Sie Schwachstellenscanner für Ihre Arbeit einsetzen. Die Intensität sowie die Invasivität Ihrer aktiven Schwachstellenscans darf die Verfügbarkeit des Zielobjektes bei der Bundeswehr nicht beeinträchtigen. Ein invasives aktives Massen-Scanning ist also nicht zulässig. Zudem zählen eingereichte Berichte von automatisierten Tools ohne erklärende Dokumentation formal zu den nicht-qualifizierten Schwachstellen-Meldungen und werden nicht anerkannt. Nutzen Sie bitte für Ihre Meldung an uns die Formatvorlage einer Schwachstellenmeldung auf unserer Internetseite. Hilfreich ist es auch, wenn Sie Ihre IP-Adresse in der Schwachstellenmeldung vermerken, um hier einer Haftungsfrage entgegenzuwirken.

Sie erhalten eine automatisch erstellte Eingangsbestätigung per E-Mail. Sollte diese Mail nach einem Tag noch nicht bei Ihnen eingegangen sein, prüfen Sie bitte Ihren SPAM-Ordner, oder lassen Sie sich per Mail (security@bundeswehr.org) nochmals den Eingang bestätigen.

Eine qualifizierte Schwachstelle und damit verbundene Anerkennung zeichnen sich insbesondere dadurch aus, dass diese Schwachstelle eine Gefährdung bzw. ein Risiko für die ITInformationstechnik-Infrastruktur oder Personen (Assets) der Bundeswehr darstellt. Eine Bewertung über die Kritikalität und Ausnutzbarkeit der gemeldeten Schwachstelle sowie deren Anerkennung obliegt der Bundeswehr.

Gefahren/Bedrohungen haben das grundsätzliche Potenzial einen Schaden zu verursachen.

Ein Schaden ist definiert als ein Nachteil der durch die Minderung oder den Verlust an materiellen oder immateriellen Gütern entsteht.

Das Risiko ist ergibt sich aus den Faktoren Eintrittswahrscheinlichkeit und Schadenshöhe und ist im Sinne der VDPBwVulnerability Disclosure Policy der Bundeswehr typischerweise nicht vollständig objektiv bewertbar.

Schwachstellen im Sinne der Informationstechnik sind Fehler innerhalb der eingesetzten Hard- und Software. Sie können unter anderem durch mangelhafte Programmierung, Konfiguration und Bedienung von ITInformationstechnik-Systemen entstehen und zu einer Gefährdung führen.

Gefährdung im Sinne der VDPBwVulnerability Disclosure Policy der Bundeswehr beschreibt den Zustand, wenn eine reale Gefahr auf ein konkretes Asset der Bundeswehr einwirken kann und der Eintritt eines Schadens wahrscheinlich ist.

Gefahren für sich genommen gelten nicht als qualifizierte Schwachstellen. Schwachstellen deren Ausnutzung zu einer Gefährdung im Sinne der VDPBwVulnerability Disclosure Policy der Bundeswehr führt und bei denen der Eintritt eines Schadens wahrscheinlich ist, werden als qualifizierte Schwachstellen bezeichnet.

Nur qualifizierte Schwachstellenmeldungen, die reproduzierbar sind, werden bearbeitet. Ist die Schwachstelle zuvor gemeldet worden, bereits bekannt oder nicht reproduzierbar, wird die Schwachstellenmeldung zur Kenntnis genommen aber nicht weiter im Prozess berücksichtigt. Gleiches gilt, wenn es sich nach unserer Einschätzung um kein bzw. ein tolerierbares Risiko handelt. Das Ergebnis unserer Prüfung teilen wir Ihnen schriftlich über die von Ihnen angegebenen Kontaktdaten mit.

Wir erkennen eine Schwachstelle nur an, wenn sie unseren Richtlinien zum verantwortungsvollen Umgang mit einer qualifizierten Schwachstelle entspricht. Schwachstellen, die uns bereits bekannt sind oder als nicht ausnutzbar nachgewiesen werden, sind ebenso wie OSINTOpen Source Intelligence-Analysen nicht anerkennungsfähig. Weitere Beispiele sind unter dem Punkt „NICHT-QUALIFIZIETRE SCHWACHSTELLEN“ aufgeführt. Diese Aufzählung ist nicht abschließend.

Ob es sich bei Ihrer Meldung um eine Schwachstelle handelt und welches Risiko für uns besteht, bewertet die Bundeswehr. Nicht jede Schwachstelle stellt ein Risiko für die Bundeswehr dar.

Die Danksagung ist alphabetischer Reihenfolge sortiert.

Wenn Sie als externe ITInformationstechnik-Sicherheitsforschende mindestens drei qualifizierte Schwachstellen gefunden haben, die noch nicht vor Ihnen gemeldet wurden, reproduzier- und ausnutzbar sind sowie Sie die Informationen über die Schwachstellenmeldung nicht ohne Zustimmung der Bundeswehr veröffentlicht haben, dann erfüllen Sie die Voraussetzungen für den Coin-VDPBwVulnerability Disclosure Policy der Bundeswehr. Wir benötigen dazu eine zustellfähige Postadresse, die Sie am besten bei Ihrer Schwachstellenmeldung bereits unter „Autor und Kontaktdaten“ angeben.