Vulnerability Disclosure Policy
Die Sicherheit unserer IT-Systeme und Webseiten sowie der Schutz unserer Daten haben für die Schweizerische Nationalbank ("SNB") sehr hohe Bedeutung. Wir sind uns bewusst, dass Schwachstellen in komplexen IT-Umgebungen auftreten können und schätzen die Unterstützung der Sicherheitsforschungsgemeinschaft. Ihre Beiträge können uns helfen, unsere Sicherheitsmassnahmen kontinuierlich zu verbessern.
Wenn Sie in den IT-Systemen und Webseiten der SNB eine Schwachstelle ("Schwachstelle") entdecken oder davon erfahren, bitten wir Sie, uns darüber gemäss der vorliegenden Vulnerability Disclosure Policy ("VDP") umgehend zu informieren.
Vorgehen für die Meldung einer Schwachstelle
- Informieren Sie sich zuerst darüber, welche Schwachstellen ungültig sind und im Rahmen dieser VDP nicht bearbeitet werden.
- Verstossen Sie im Zusammenhang mit der Schwachstelle und Ihrer Meldung der Schwachstelle nicht gegen geltendes Recht.
- Senden Sie die Beschreibung der gefundenen Schwachstelle verschlüsselt per E-Mail an vulnerability-disclosure@snb.ch. Die notwendigen Informationen finden Sie in der security.txt-Datei.
- Stellen Sie uns detaillierte Informationen zur Verfügung, damit die verantwortlichen Stellen der SNB die Schwachstelle analysieren und nachvollziehen können. Nutzen Sie für Ihre Meldung den Aufbau die unten wiedergegebenen Templates für Schwachstellen-Berichte.
Was die SNB damit tut
- Die SNB wird den Eingang Ihrer Meldung bestätigen, die Schwachstelle prüfen und diese so schnell wie möglich schliessen.
- Ihr Bericht wird vertraulich behandelt und Informationen werden ohne Ihr Einverständnis nicht an Dritte weitergegeben, ausser wenn dies gesetzlich vorgeschrieben ist.
- Die SNB wird gegen Sie keine rechtlichen Schritte vornehmen, wenn sie sich an die Regeln dieser VDP halten und keine böswillige oder kriminelle Absicht erkennbar ist und keine strafbare Handlung vorliegt. Im Falle eines Verstosses gegen diese VDP oder einer strafbaren Handlung behält sich die SNB sämtliche rechtlichen Schritte vor.
- Nach Überprüfung Ihrer Meldung informieren wir Sie über das Ergebnis unserer Analyse.
- Die SNB bezahlt für gemeldete Schwachstellen keine Belohnungen.
- Informationen zur Bearbeitung Ihrer Personendaten finden sie unter https://www.snb.ch/de/srv/disclaimer_data.
Gültige Schwachstellen
Grundsätzlich kann jede Schwachstelle gemeldet werden. Beispiele sind:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Server-Side Request Forgery (SSRF)
- Remote Code Execution (RCE)
- Fehlkonfiguration
- Fehlende Authentisierung
- Datenlecks
Ungültige Schwachstellen und verbotene Aktivitäten
Die nachfolgenden Arten von Schwachstellen brauchen nicht gemeldet zu werden. Berichte, die solche Schwachstellen enthalten, unvollständig sind oder nicht die vorgeschriebene Vorlage verwenden, werden von uns nicht bearbeitet.
- Abweichungen von Best Practices und fehlende Security Headers
- Schwachstellen in veralteten Browsern
- Clickjacking ohne konkrete Auswirkungen
- Unsichere Cookie-Attribute bei non-sensitive Cookies (Missing cookie flags on non-sensitive cookies)
Weiter halten wir fest, dass insbesondere folgende Aktivitäten ausdrücklich untersagt sind. Diese stellen möglicherweise ein strafrechtlich relevantes Verhalten dar:
- Social-Engineering-Angriffe (z.B. Phishing) gegenüber Mitarbeitenden der SNB;
- Aktivitäten, die negative Auswirkungen auf die SNB haben können (z.B. Denial of Service-Angriffe, Versenden von Spam im Namen der SNB);
- der Einsatz von automatisierten Tools oder Skripten, die die Systembelastung erhöhen oder den normalen Betrieb von Systemen der SNB beeinträchtigen können;
- weitere Angriffe, die die Leistungsfähigkeit oder Integrität der Systeme der SNB beeinträchtigen können (z.B. Installation von Malware, Brute-Force-Angriffe, Fuzzing oder ähnliche Techniken);
- jegliches unbefugte Verändern, Löschen oder Kopieren von Daten auf Systemen der SNB;
- die Veröffentlichung von Informationen über entdeckte oder vermutete Schwachstellen ohne ausdrückliche schriftliche Zustimmung der SNB.
Template für Schwachstellen-Berichte
- Titel/Bezeichnung der Schwachstelle
- Autor und Kontaktangaben
- Betroffene Applikation, System, Gerät oder Produkt (URL, IP-Adresse, Hersteller, Produkt, Version)
- Beschreibung der Schwachstelle inkl. technische Details
- Proof of Concept
- Abhilfe, Lösung, Vermeidung