09.05.2025 14:34
Nationale Policy für die koordinierte Offenlegung von Schwachstellen (CVD)
Der Umgang mit Schwachstellen in IT Produkten und Dienstleistungen ist eine der spannenden Themen in der IT-Sicherheit. Seitens der Hersteller stellt sich die Frage, wie man am besten selbst Probleme identifiziert, wie man mit Meldungen von Dritten am besten umgeht, wie der Prozess zur Entwicklung von korrigierten Versionen aussieht und wie man diese neue Version schnell und effizient an die Kunden verteilt. Seitens der Finder (Researcher) stellen sich Fragen nach den rechtlichen Rahmenbedingungen für die Schwachstellensuche: was darf ich, was sicher nicht, und wie kommuniziere ich das Ergebnis am sinnvollsten?
Und auch für uns als nationales CERT ist CVD wichtig: in der NIS-2-Richtlinie (Artikel 12) legt die EU fest, dass jeder Mitgliedsstaat ein CSIRT als Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen benennen soll. Der für diese Aufgabe nötige Prozess sollte gesamtstaatlich festgelegt werden, denn in der nationalen Cybersicherheitsstrategie (Artikel 7) sollte auch ein „Konzept für das Vorgehen bei Schwachstellen, das die Förderung und Erleichterung der koordinierten Offenlegung von Schwachstellen nach Artikel 12 Absatz 1 umfasst“ enthalten sein.
Im Sommer 2024 wurde genau so eine nationale CVD-Policy für Österreich geschrieben: Der erste Entwurf wurde von BMI, BKA und BMJ mit Input von CERT.at geschrieben, danach wurde über die Cybersecurity Platform (CSP) Feedback aus der Community eingeholt. 2025 hat dann die Cybersicherheit-Steuerungsgruppe das Dokument formal bestätigt. Sie wird zukünftig auch auf nis.gv.at abrufbar sein – diese Seite ist derzeit gerade in der Übergabe zwischen BKA und BMI. Wir bekamen daher die Freigabe, die Policy über unsere Webseite zu veröffentlichen.
Noch gibt NIS2 in Österreich nicht, und wir wurden daher auch noch nicht offiziell als CVD-koordinierendes CSIRT in Österreich festgelegt, daher laufen unsere CVD-Aktivitäten weiterhin als Best-Effort Service. Wir haben auch noch keine spezielle Kontaktmöglichkeit für CVD-Fälle bei uns etabliert. Das wird dann kommen, wenn wir diese Rolle offiziell – und dann hoffentlich auch mit einer entsprechenden Finanzierung – übernehmen.
Download: 20241206_nationale CVD-Policy.pdf