Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten
Warnungen vor Schadprogrammen und
Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten.
Eine Warnung nach §7 BSIG spricht das BSI dann aus, wenn seitens des Herstellers keine oder ungenügende Maßnahmen gegen die Gefährdung ergriffen werden, die von einer bekannt gewordenen Sicherheitslücke ausgeht.
Die folgende Liste umfasst aktuelle Warnungen der letzten sechs Monate.
Hat der Hersteller eigene geeignete Maßnahmen ergriffen oder geeignete Handlungsmöglichkeiten öffentlich empfohlen, wird die BSI-Warnung gem. § 7 BSIG mit einem Hinweis auf die Reaktion des Herstellers nach einem Monat archiviert. Ergreift der Hersteller keine geeigneten Maßnahmen, wird die BSI-Warnung gem. § 7 BSIG jeweils sechs Monate nach der Erstveröffentlichung beziehungsweise nach der letzten Aktualisierung hier archiviert. Wird eine archivierte BSI-Warnung als fehlerhaft oder werden darin enthaltene Informationen als unzutreffend erkannt, so wird auch die archivierte BSI-Warnung entsprechend aktualisiert.
Mit der Archivierung ist keine automatische Entwarnung verbunden, da ohne die Umsetzung der vom Hersteller empfohlenen Maßnahmen durch den einzelnen Nutzer die Gefährdung für diesen weiterhin existiert.
Entsprechend informiert das BSI über Erkenntnisse aus Untersuchungen von informationstechnischen Produkten und warnt vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen und bei Datenverlust oder unerlaubtem Datenzugriff.
Häufig gestellte Fragen und Antworten zu den BSI-Warnungen gemäß §7 BSIG
Im Gegensatz zu den weiteren Informationsprodukten des BSI, die in der Regel Informationen und Maßnahmen des Herstellers referenzieren, hat der Hersteller zum Zeitpunkt der Veröffentlichung einer BSI-Warnung gem. § 7 BSIG keine, keine ausreichende oder keine rechtzeitige eigene Maßnahme ergriffen, um die von dem Produkt ausgehende Gefährdung zu beseitigen oder einzudämmen.
Der Prozess zur Erstellung und Veröffentlichung einer BSI-Warnung gem. § 7 BSIG kann durch verschiedene Ereignisse ausgelöst werden. Zum Beispiel durch Dritte, die ihre Erkenntnisse an das BSI leiten, durch eigene Analyse- oder Untersuchungsergebnisse des BSI oder durch öffentlich verfügbare Quellen. Der jeweilige Sachverhalt wird anhand feststehender Prozesse verifiziert und bewertet.
Das BSI versucht grundsätzlich rechtzeitig vor der Veröffentlichung der BSI-Warnung gem. § 7 BSIG den Hersteller zu kontaktieren, ihn über den Sachverhalt zu informieren und ihm eine angemessene Frist zur Stellungnahme einzuräumen. Erkenntnisse aus dieser Kommunikation fließen sofort in die Erstellung der BSI-Warnung gem. § 7 BSIG ein oder können dazu führen, dass von der Veröffentlichung als BSI-Warnung gem. § 7 BSIG abgesehen wird, falls die vorgesehenen Maßnahmen des Herstellers durch das BSI als geeignet, also als ausreichend und rechtzeitig, bewertet werden.
Lässt der Hersteller die in der vorherigen Antwort erwähnte, angemessene Frist ohne Reaktion verstreichen oder liegt Gefahr im Verzug vor, wird das BSI die BSI-Warnung gem. § 7 BSIG auf Basis der zu diesem Zeitpunkt verfügbaren Informationen erstellen und veröffentlichen. Ergreift der Hersteller zu einem späteren Zeitpunkt geeignete Maßnahmen oder stellt er sachdienliche Informationen zur Verfügung, werden diese als Aktualisierung in die BSI-Warnung aufgenommen.
Es bestehen Überschneidungen und Schnittstellen. Vereinfacht ausgedrückt findet ein CVD dann statt, wenn der Hersteller fristgerecht auf die Kontaktversuche des BSI reagiert und einvernehmlich mit dem BSI ein gemeinsames Vorgehen abstimmt. Dabei sind auch mehrmonatige Bearbeitungszeiträume möglich. In dem Fall wird keine BSI-Warnung gem. §7 BSIG erstellt, sondern auf die Maßnahmen des Herstellers verwiesen oder sogar völlig auf eine BSI-Maßnahme verzichtet. Reagiert der Hersteller nicht oder nicht rechtzeitig leitet das BSI die Erstellung und Veröffentlichung einer BSI-Warnung gem. § 7 BSIG ein. Dies kann auch noch im laufenden CVD-Prozess geschehen, falls unüberbrückbare Differenzen zwischen dem Hersteller und dem BSI auftreten, die in der Regel darauf beruhen, dass das BSI die Maßnahme des Herstellers als nicht ausreichend bewertet.
Eine explizite Entwarnung durch das BSI wird nicht erfolgen. Auch wenn der Hersteller Sicherheitsupdates bereitstellt oder andere geeignete Maßnahmen ergreift bzw. empfiehlt, ändert sich die individuelle Gefährdung nur für diejenigen Nutzer, die diese Maßnahmen umsetzen.
Hat der Hersteller eigene geeignete Maßnahmen ergriffen oder geeignete Handlungsmöglichkeiten öffentlich empfohlen, wird die BSI-Warnung gemäß § 7 BSIG nach einem Monat in das Archiv verschoben. Ergreift der Hersteller allerdings keine geeigneten Maßnahmen, wird die BSI-Warnung gem. § 7 BSIG erst sechs Monate nach deren Erstveröffentlichung beziehungsweise nach der letzten Aktualisierung in das Archiv verschoben.
In diesem schematischen Schaubild sind die wesentlichen Schritte dargestellt.