Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Verantwortungsbewusste Offenlegung: Die CVD-Richtlinie des BSI

SecTepe Redaktion
|
|
3 Min. Lesezeit

Sicherheitsforschende entdecken Schwachstellen ständig – in Open-Source-Projekten, in Unternehmensprodukten, in öffentlichen Diensten. Die Frage ist, wie damit umgegangen wird: wild veröffentlichen, heimlich behalten oder koordiniert melden. Die CVD-Richtlinie des BSI setzt hier den fachlichen Standard.

Was bedeutet Coordinated Vulnerability Disclosure (CVD)?

CVD beschreibt einen strukturierten Prozess, bei dem Sicherheitsforschende Schwachstellen zunächst vertraulich an die Verantwortlichen (Hersteller, Betreiber, CERTs) melden. Ziel ist es, dass eine Korrektur bereitsteht, bevor die technischen Details öffentlich werden – damit Nutzer:innen geschützt sind.

Die wichtigsten Bausteine

  • Kontaktweg: Herausgeber benennen einen erreichbaren, verschlüsselten Meldekanal (z. B. security.txt).
  • Anerkennung: Meldungen werden zeitnah bestätigt und nachvollziehbar bearbeitet.
  • Frist zur Behebung: Typisch sind 90 Tage bis zur Veröffentlichung – flexibel, falls Komplexität oder Koordination mit Dritten mehr Zeit erfordern.
  • Koordination: Bei mehreren Betroffenen moderiert das BSI den Prozess und stimmt Timing sowie Details ab.
  • Veröffentlichung: Nach erfolgter Korrektur erfolgt eine abgestimmte Advisory – mit Danksagung an die Meldenden.

Warum das für Unternehmen wichtig ist

  • Schutz der Nutzerbasis: Keine breit gestreuten Exploits, bevor ein Patch verfügbar ist.
  • Haftungs- und Reputationsfragen: Ein klarer Prozess ist Bestandteil vieler Compliance-Vorgaben (ISO 27001, NIS 2).
  • Kooperationskultur: Gemeldete Schwachstellen sind eine kostenlose, fachlich hochwertige Qualitätssicherung – wenn man sie professionell annimmt.
  • Attraktivität für Forschende: Ein sichtbarer, fairer Meldeweg ermutigt zu verantwortungsvoller Meldung statt zu Full Disclosure.

Was Unternehmen konkret tun sollten

  1. security.txt bereitstellen: Kontaktadresse, PGP-Schlüssel, Reporting-URL.
  2. CVD-Policy veröffentlichen: Zeiten, Rechte der Meldenden, Erwartungen – kurz und klar.
  3. Triage-Prozess etablieren: Verantwortliche, Eskalation, Testumgebung für Reproduktion.
  4. Patches und Advisories koordinieren: Interne Freigabe, Abstimmung mit betroffenen Kunden und ggf. dem BSI.
  5. Danksagung und Transparenz: Meldende nennen (wenn gewünscht), Advisory verständlich schreiben.

Fazit

Die CVD-Richtlinie des BSI macht verantwortungsvolle Schwachstellenmeldung zum praktikablen Normalfall. Für Unternehmen ist sie weniger Bürde als Chance: klare Prozesse schützen Nutzer:innen, schaffen Vertrauen und bringen Sicherheitsqualität in den Entwicklungszyklus. Wer den Kontaktweg sichtbar macht und Meldungen professionell bearbeitet, zieht nicht nur Angriffsfläche ab – sondern auch Forschende, die auf seiner Seite arbeiten.

Alle Artikel ansehen