Vulnerability Disclosure Policy der Bundeswehr (VDPBwVulnerability Disclosure Policy der Bundeswehr)

Die Bundeswehr legt größten Wert auf die Sicherheit ihrer ITInformationstechnik-Systeme. Trotz sorgfältigster Implementierung, Konfiguration und Tests können dennoch Schwachstellen vorhanden sein.

Security Policy

Sollten Sie Schwachstellen in ITInformationstechnik-Systemen und Webanwendungen der Bundeswehr entdecken, bitten wir Sie uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.

Die VDPBwVulnerability Disclosure Policy der Bundeswehr darf nicht ohne Einwilligung der Bundeswehr dazu verwendet werden, um in Programmen Dritter Schwachstellenmeldungen aufzubereiten oder weiter zu vermitteln.

Gehen Sie wie folgt vor:

  • Informieren Sie sich vor Ihrer Meldung über die Fälle, die nicht in den Geltungsbereich unserer Vulnerability-Disclosure-Policy der Bundeswehr fallen und in diesem Rahmen nicht bearbeitet werden.
  • Nutzen Sie das Kontaktformular, um mit uns wegen des Sicherheitsproblems in Kontakt zu treten oder senden Sie Ihre Ergebnisse per E-Mail an security@bundeswehr.org. Verschlüsseln Sie Ihre Dokumentation mit unserem PGP-Schlüssel, damit diese sensiblen Informationen nicht in die falschen Hände geraten. Um die Kommunikation zwischen Ihnen und der zentralen Meldestelle in der Bundeswehr zu optimieren, bitten wir Sie um Verwendung der unten aufgeführten Formatvorlage.
  • Nutzen Sie die Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise Daten herunterladen, verändern, löschen oder Code hochladen.
  • Geben Sie Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde durch die Bundeswehr freigegeben.
  • Führen Sie keine Angriffe auf unsere ITInformationstechnik-Systeme durch, die Infrastruktur und Personen kompromittieren, verändern oder manipulieren.
  • Führen Sie keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf die Bundeswehr durch.
  • Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie auch eine Kontaktmöglichkeit für Rückfragen bereit.

In der Regel ist die Adresse oder die URLUniform Resource Locator des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.

Was wir versprechen:

  • Wir versuchen die Schwachstelle so schnell wie möglich zu schließen.
  • Sie erhalten von uns eine Rückmeldung zum Eingang Ihrer Meldung und auf Ihren Bericht.
  • Handeln Sie gemäß den oben genannten Anweisungen der Security Policy der Bundeswehr, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden.
  • Wir werden Ihren Bericht vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
  • Wir werden Sie über den Eingang Ihrer Meldung informieren, darüber hinaus ebenso über die Validität der Schwachstelle/ITInformationstechnik-Sicherheitslücke und die Behebung des Problems während des Zeitraums der Bearbeitung.
  • Der Finder wird nach seinen Fähigkeiten beurteilt und nicht nach Alter, Ausbildung, Geschlecht und Herkunft oder gesellschaftlichem Rang. Deshalb zeigen wir diesen Respekt auch öffentlich und erkennen diese Leistung an. Dazu werden wir, wenn nichts Anderes gewünscht ist, auf unserer Dankesseite die Beschreibung der geschlossenen Schwachstelle und den Namen (bzw. den Alias) des Entdeckers nennen, um so eine gute Zusammenarbeit mit der Bundeswehr auch öffentlich zum Ausdruck zu bringen.

Qualifizierte Meldung von Schwachstellen

Jedes Design- oder Implementierungsproblem bei der Bundeswehr kann gemeldet werden, das reproduzierbar ist und die Sicherheit beeinträchtigt.

Häufige Beispiele sind:

  • Cross Site Request Forgery (CSRF)
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Information Leakage an Improper Error Handling
  • Unbefugter Zugriff auf Eigenschaften oder Konten
  • uvm.

Dies können aber auch sein:

  • Daten-/Informations-Leaks
  • Möglichkeit der Exfiltration von Daten / Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten System-Nutzung
  • Fehlkonfigurationen

Nicht-qualifizierte Schwachstellen

Die folgenden Schwachstellen / ITInformationstechnik-Sicherheitslücken fallen nicht in den Geltungsbereich der Vulnerability-Disclosure-Policy der Bundeswehr:

  • Angriffe, die einen physischen Zugriff auf das Gerät oder Netzwerk eines Benutzers erfordern.
  • Formulare mit fehlenden CSRF-Token (Ausnahme: Die Kritikalität übersteigt das Common Vulnerability Scoring System (CVSS) Stufe 5.).
  • Missing security headers, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
  • Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
  • Social Engineering gegen Personen oder Einrichtungen der Bundeswehr sowie deren Auftragnehmer.
  • Denial of Service Angriffe (DoS/DDoSDistributed Denial of Service).
  • Bots, SPAM, Massenregistrierung.
  • Keine Einreichung von Best Practices (z.B. certificate pinning, security header).
  • Verwendung von anfälligen und „schwachen“ Cipher-Suites / Chiffren.

Formatvorlage einer Schwachstellenmeldung:

  1. Titel / Bezeichnung der Schwachstelle
  2. Schwachstellentypus
  3. Kurzerklärung der Schwachstelle (ohne technische Details)
  4. Betroffenes Produkt / Dienst / ITInformationstechnik-System / Gerät
    1. Hersteller
    2. Produkt
    3. Version / Modell
  5. Exploitationtechnik
    1. Remote
    2. Local
    3. Netzwerk
    4. Physisch
  6. Authentication-Typ
    1. Pre-Auth
    2. Authentification Guest
    3. Benutzer-Privilegien (User / Moderator / Manager / Admin)
  7. Benutzerinteraktion
    1. No User
    2. Low User Interaction
    3. Medium User Interaction
    4. High User Interaction
  8. Technische Details und Beschreibung der Schwachstelle
  9. Proof of Concept
  10. Aufzeigen einer Lösungsmöglichkeit
  11. Autor und Kontaktdaten
  12. Einverständnis zur Nennung des Namens und der gefundenen Schwachstelle in der Danksagung