Das NCSC ist neu Teil des weltweiten Netzwerks zur Verwaltung von Schwachstellen in Informatiksystemen

28.09.2021 - Das Nationale Zentrum für Cybersicherheit (NCSC) ist ab heute Teil des weltweiten Netzwerks zur Verwaltung von Schwachstellen in Informatiksystemen. Damit ist das NCSC als Fachstelle nun berechtigt, gemeldeten Schwachstellen eine eindeutige Identifikationsnummer gemäss internationalem Referenzsystem zu vergeben. Die Autorisierung dazu hat das NCSC von der zuständigen unabhängigen US-Organisation MITRE erhalten.

Täglich werden weltweit Schwachstellen und Anfälligkeiten in Informatiksystemen und -anwendungen entdeckt und gemeldet. Damit das Ausnutzen dieser Schwachstellen möglichst vermieden werden kann, ist deren rasche Behebung und somit die Information an die Betreiber und Hersteller von hoher Wichtigkeit. Jeder Schwachstelle, genannt Common Vulnerabilities and Exposure (CVE), wird deshalb eine eindeutige CVE-Identifizierungsnummer zugewiesen. Die Aufgabe des CVE-Programms von MITRE besteht darin, öffentlich bekannt gewordene Schwachstellen im Bereich der Cybersicherheit zu identifizieren, zu definieren und zu katalogisieren.

Das NCSC wurde von MITRE neu als Autorisierungsstelle und damit zur Vergabe von CVE-Nummern anerkannt. In dieser Rolle ist das NCSC zuständig für die Erstellung und Veröffentlichung von Informationen über die ihm gemeldeten Schwachstellen und der zugehörigen CVE-Einträge. Das NCSC ist damit nicht nur offizielle Anlaufstelle zum Melden von Sicherheitslücken in der Schweiz, sondern führt auch deren CVE-Nummern für den internationalen Austausch.

Melden Sie Schwachstellen

Zurzeit baut das NCSC das Schwachstellen-Management aus und nimmt seit März 2021 via Formular auf seiner Website Meldungen zu Schwachstellen bei Informatiksystemen und -anwendungen entgegen, um diese als Vermittlerin den zuständigen Inhaberinnen und Inhabern zu melden. Im Rahmen des Schwachstellen-Managements hat das NCSC jüngst auch die Testphase der Infrastruktur für das Covid-Zertifikat und das erste Pilot-Programm betreffend Bug Bounty in der Bundesverwaltung eng begleitet.

Letzte Änderung 28.09.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/cve-ncsc.html