Schwachstellenmeldung via Online-Formular

Um Schwachstellenfindende zu entlasten, kann das BSI bei der Kontaktaufnahme mit dem Hersteller eines IT-Produkts helfen und bei der Koordinierung eines sich anschließenden Behebungs- und Veröffentlichungsprozesses unterstützen.

Unter Verwendung des Meldeformulars können CERT-Bund als nationalem CERT im BSI Schwachstellen gemeldet werden. Der vertrauensvolle Umgang mit Ihren Informationen wird dabei stets gewahrt.

Die Meldung kann auf Wunsch auch anonymisiert erfolgen. Bitte beachten Sie in diesem Fall möglichst umfassende und präzise Angaben zu machen, die eine Verifikation und Bewertung des Sachverhalts ermöglichen, da Rückfragen durch das BSI nicht möglich sind.

Als meldende Person bestimmen Sie darüber, inwieweit Ihre Beteiligung dem Hersteller gegenüber offengelegt wird. Nutzen Sie hierfür insbesondere die letzten Eingabefelder des Formulars.

Schwachstellenmeldungen via E-Mail

Schwachstellenmeldende, die ein eigenes Meldungsformat verwenden, (bspw. via PDF oder txt) können Schwachstellenmeldungen und Koordinierungsanfragen direkt an die E-Mail-Adresse vulnerability@bsi.bund.de des BSI senden.

Dabei ist eine Schwachstellenmeldung wie folgt aufzubauen:

1. Der Name des Herstellers und ob Kontakt mit diesem Aufgebaut wurde.
2. Der Name des Produkts und die getestete Versionsnummer.
3. Eine einfache Beschreibung (ggf. Screenshots oder andere Abbildungen für die bessere Nachvollziehbarkeit), aus der hervorgeht, wie die Schwachstelle entdeckt wurde (einschließlich evt. verwendeter Tools).
4. Eine Zuordnung der Schwachstelle an die OWASP Top 10 2021 (siehe https://owasp.org/www-project-top-ten). Sollte keiner der Schwachstellenkategorien passen so ist diese als „Sonstige“ näher zu beschreiben.
5. Einen Proof-of-Concept-Code (PoC) oder Anweisungen enthalten muss, aus denen hervorgeht, wie die Schwachstelle ausgenutzt werden kann.
6. Eine (formlose) Einverständniserklärung zur Aufnahme eines Namens/Alias in die Danksagungswebseite (Hall of Fame) des BSI enthalten.
7. Eine Risikoeinschätzung unter Beachtung der technischen Gegebenheiten zur Bestimmung des Schweregrads der Schwachstelle (bspw. durch Verwendung eines CVSS-Wertes und der dazugehörigen Matrix - präferiert in der aktuellsten Version) enthalten.
8. Eine Beschreibung der Auswirkungen der gemeldeten Schwachstelle oder ein Bedrohungsmodell, das ein relevantes Angriffsszenario beschreibt.

Für eine verschlüsselte Kommunikation verwenden Sie bitte unseren PGP-Schlüssel. Diesen finden Sie auf der Webseite Kontaktdaten für CERT-Bund im Abschnitt "Schwachstellenmeldung".