Richtlinie zur koordinierten Offenlegung von Schwachstellen

Die Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD), bezeichnet als P39, etabliert einen strukturierten und formalen Prozess für den Eingang, die Bearbeitung und die öffentliche Offenlegung von Schwachstellen in den Netzwerken und Informationssystemen der Organisation. Diese Richtlinie wurde speziell entwickelt, um Lücken zu schließen, die in früheren Richtlinien in Bezug auf die Meldung und Koordination extern entdeckter Schwachstellen identifiziert wurden, und stellt eine proaktive Einhaltung der NIS2-Richtlinie, Artikel 21(2)(e), sowie die Ausrichtung an internationalen Normen einschließlich ISO/IEC 29147 und der Durchführungsverordnung (EU) 2024/2690 der Kommission sicher. Der Zweck dieser Richtlinie ist zweifach: die zeitnahe Erkennung und Behebung von Schwachstellen durch die Nutzung sowohl interner Bewertungen als auch externer Hinweise zu ermöglichen und klare, sichere Wege für externe Parteien – wie Sicherheitsforscher, Partner und Kunden – zu schaffen, um Schwachstellen zu melden. Konkret schreibt die Richtlinie die Einrichtung eines öffentlich zugänglichen Kanals zur Meldung von Schwachstellen vor, typischerweise eine Security-Kontakt-E-Mail oder ein verschlüsseltes Webformular, das auf der Website der Organisation veröffentlicht wird und eine sichere und effektive Kommunikation mit Meldenden unterstützt. Diese CVD-Richtlinie beschreibt die Pflichten und die Zusammenarbeit zwischen allen beteiligten Parteien: dem Vulnerability Response Team (VRT), das für die Triage sowie die Koordination von Abhilfemaßnahmen und Offenlegung verantwortlich ist; IT- und Entwicklungsteams, die technische Aspekte von Schwachstellen validieren und beheben; Kommunikationsfachleute, die Hinweise für Interessenträger und die Öffentlichkeit vorbereiten; sowie die externen Meldenden selbst, die Leitlinien zur verantwortungsvollen Offenlegung einhalten müssen. Wichtig ist, dass die Richtlinie ein „Safe Harbor“-Prinzip verankert: Forscher in gutem Glauben, die gemäß den Richtlinienregeln handeln, sind vor rechtlichen Schritten geschützt, was eine kooperative Kultur des Schwachstellenmanagements fördert. Die Richtlinie ist hinsichtlich Service Levels und Kontrollen explizit: Bestätigungen von Meldungen werden innerhalb von 2 Werktagen garantiert, die Schwere wird zeitnah triagiert, und kritische Schwachstellen lösen beschleunigte Risikominderungsmaßnahmen und eine Eskalation an das Management aus. Zeitvorgaben für die Offenlegung werden festgelegt (typischerweise innerhalb von 90 Tagen oder nach gegenseitiger Vereinbarung), und öffentliche Hinweise werden koordiniert, um die Sicherheit zu maximieren und Meldende zu würdigen, die einer Namensnennung zustimmen. Die Vertraulichkeit der eingereichten Schwachstellen und der Identitäten der Meldenden wird betont, bis eine koordinierte öffentliche Offenlegung vereinbart ist. Die Governance über das CVD-Programm ist strikt. Die Richtlinie wird jährlich oder nach erheblichen Sicherheitsvorfällen überprüft, mit Anforderungen an kontinuierliche Verbesserung auf Basis von Vorfallsnachbereitung. Kennzahlen werden nachverfolgt, Protokolle geführt und regelmäßige Audits vorgeschrieben, um Transparenz und Wirksamkeit bei der Bearbeitung von Schwachstellen gemäß der Richtlinie und den relevanten Vorschriften sicherzustellen. Diese Richtlinie ist nicht auf KMU zugeschnitten (es gibt keine KMU-Kennzeichnung wie „S“) und setzt dedizierte Sicherheits-, Entwicklungs- und Kommunikationsfunktionen für den ordnungsgemäßen CVD-Betrieb voraus, die strenge Anforderungen für ISO/IEC 27001:2022 und sektorale Richtlinien wie NIS2 erfüllen.