FriedjofJul 10, 2025
BSI

IT-Schwachstelle gefunden? Meldet sie verantwortungsvoll!

Wir bieten mit unserem Coordinated Vulnerability Disclosure (CVD)-Prozess einen fairen, transparenten Prozess zur Meldung von 0day Schwachstellen. Egal wer – Sicherheit geht uns alle an.

👉 Vertrauliche Behandlung von Meldungen
👉 Keine Strafverfolgung durch das BSI, bei verantwortungsvollem Vorgehen
👉 Unterstützung & Koordinierung durch das BSI
👉 Anerkennung in der „Hall of Fame“

Mehr Infos & das Meldeformular: https://www.bsi.bund.de/dok/454986

Jun 30, 2025 at 6:49amWeb
Show threadLarsJun 30, 2025
@bsi Oh wow, das klingt richtig sinnvoll!
Ist das ein neues Angebot?
Show threadBSIJul 4, 2025
@koyax Schön, dass es positiv ankommt 😊 Nein, das Angebot ist nicht neu. Wir bieten den CVD-Prozess seit 2022 an.
Show threadDaniel Fisher(lennybacon)Jun 30, 2025

@bsi … das BSI ist ja auch keine Strafvervolgungsbehörde, oder?

Es wäre halt schön, wenn der Hackerparagraph mal angepasst würde — aber da hat das BSI keine Verantwortung.

Show threadSpoontaneous ConsumptionJun 30, 2025

@lennybacon @bsi

Das BSI könnte zumindest moralische Unterstützung zusichern wenn es zu einer Klage der betroffenen kommt. Davon kann man sich zwar keine guten Anwält*innen leisten aber wenn das BSI sich öffentlich zu einer Klage äußerte wäre das vor Gericht schon was wert nehme ich an...

Show threadArneBabJun 30, 2025

@bsi Gibt es schon Stellungnahmen vom @CCC dazu?

https://www.bsi.bund.de/dok/454986

CVD-Richtlinie des BSI

Bundesamt für Sicherheit in der Informationstechnik
Show threadEric DravenJun 30, 2025

@bsi

Zitat: "👉 Keine Strafverfolgung durch das BSI, bei verantwortungsvollem Vorgehen"

"verantwortungsvollem Vorgehen" richtet sich die Beurteilung nach bearbeitenden Sachbearbeiter oder beruft ihr euch auf eine schriftliche Definition?
Ein Hinweis (Link) zu eurer Definition wäre hilfreich....

Show threadBSIJul 4, 2025
@ravenport Danke für die Frage. Meldende müssen sich an die in der CVD-Richtlinie aufgestellten Bedingungen halten. Dies stellt ein verantwortungsvolles Vorgehen dar: https://www.bsi.bund.de/dok/schwachstellenmeldung
CVD-Richtlinie des BSI

Bundesamt für Sicherheit in der Informationstechnik
Show threadEric DravenJul 4, 2025

@bsi

Habe es mir gerade durchgelesen. Also nach diesen Richtlinien würde ich euch nichts melden, sondern nur an den @CCC oder die Fachpresse z.B. @heiseonline. Das juristische Risiko, dass mir etwas unterstellt wird, wäre mir zu hoch. Wäre nicht zum ersten Mal, dass der Melder von Sicherheitslücken verklagt wird.

Show threadAndreas, DJ3EI, he/himJul 5, 2025

Wer vermutet, eine Schwachstelle gefunden zu haben, die Änderung von Daten im schwachen System ermöglicht, darf nach Ihren Regeln nicht an ausgesuchten Daten ausprobieren, ob die Schwachstelle tatsächlich so funktioniert wie vermutet.

Richtig verstanden, @bsi?

@ravenport

Show threadkantorkelJun 30, 2025

@bsi drei Fragen dazu:

Das BSI betreibt hoffentlich seltenst Strafverfolgung. In wie vielen Fällen eskalierte der CVD-Prozess und die Strafverfolgung (nicht das BSI) wurde tätig?

Das Veröffentlichen eines PoC gehört nicht nur zum guten Ton, sondern ermöglicht erst weitere IT-Sicherheitsforschung. Warum habt ihr etwas gegen die Veröffentlichung von "Tools zur Schwachstellenausnutzung"?

Behandelt ihr auch Security Misconfigurations? Die sind immerhin in den Owasp Top 10

Show threadBSIJul 4, 2025

@kantorkel Danke für die Fragen. Genau, wir sind keine Strafverfolgungsbehörde. Uns liegen keine Informationen von Meldenden vor, dass ein CVD-Fall, wo wir – nach dem Fund – um Koordinierung gebeten wurden, zu einer Strafverfolgung geführt hat.

PoCs nach Abschluss des Verfahrens, ja – Exploit-Tools nein. PoCs helfen im Rahmen der Meldung beim Verständnis, Exploit-Tools können aber missbraucht werden. Wir lehnen die Veröffentlichung von Werkzeugen zur Ausnutzung ab, wenn sie Dritte gefährden.

Show threadBSIJul 4, 2025
@kantorkel Und noch zu Frage drei: Nicht jede Security Misconfiguration führt zur Einleitung eines CVD-Verfahrens. Für Meldende und Unternehmen bieten wir FAQs an: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/FAQ_Sicherheitsforschende/FAQ_Sicherheitsforschende_node.html
FAQ für Sicherheitsforschende

Bundesamt für Sicherheit in der Informationstechnik
Show threadkantorkelJul 4, 2025
@bsi danke für eure Antwort! Wie unterscheide ich zwischen einem Tool zum Scannen des eigenen Netzwerks, um Schwachstellen zu beseitigen, und einem Tool zum Scannen fremder Netze, um Schwachstellen in böser Absicht auszunutzen?
Show threadRoland SommerJul 4, 2025

@kantorkel @bsi

Äh, naja, das entscheidet du nicht du, sondern irgendein Richter wie es ihm grad passt, sprich es ist Auslegungssache.

Show threadCyb3rrunn3r "Berufspessimist"Jun 30, 2025
@bsi Was soll das bringen, wenn diese Lücken offen gehalten werden für staatliche Hacker und Staatstrojaner und solchen Rotz?? 🤬
Show threadMattheusJun 30, 2025

@bsi

Bevor ich eine Sicherheitslücke melde,
trinke ich lieber eine Flasche Hugo auf ex. Wie es ausgeht mit dem melden einer Sicherheitslücke ist bekannt.
Statt einer Anerkennung bekommt man Besuch von der Polizei und wird ggf. auch vor das Gericht gezerrt.

NEIN, danke.