Symbolbild: Pixabay/Pixelcreatures

Das Nationale Zentrum für Cybersicherheit (NCSC) ist ab sofort Teil des weltweiten Netzwerks zur Verwaltung von Schwachstellen in Informatiksystemen. Damit ist das NCSC als Fachstelle nun berechtigt, gemeldeten Schwachstellen eine eindeutige Identifikationsnummer gemäss internationalem Referenzsystem zu vergeben. Die Autorisierung dazu hat das NCSC von der zuständigen unabhängigen US-Organisation Mitre erhalten, wie das Eidgenössische Finanzdepartement (EFD) via Aussendung bekannt gibt.

Hintergrund dazu ist, dass täglich weltweit Schwachstellen und Anfälligkeiten in Informatiksystemen und -anwendungen entdeckt und gemeldet werden. Damit das Ausnutzen dieser Schwachstellen möglichst vermieden werden könne, sei deren rasche Behebung und somit die Information an die Betreiber und Hersteller von hoher Wichtigkeit, so das EFD. Jeder Schwachstelle, genannt Common Vulnerabilities and Exposure (CVE), werde deshalb eine eindeutige CVE-Identifizierungsnummer zugewiesen. Die Aufgabe des CVE-Programms von Mitre besteht nun demnach darin, öffentlich bekannt gewordene Schwachstellen im Bereich der Cybersicherheit zu identifizieren, zu definieren und zu katalogisieren.

Das NCSC wurde von Mitre neu als Autorisierungsstelle und damit zur Vergabe von CVE-Nummern anerkannt. In dieser Rolle ist das NCSC zuständig für die Erstellung und Veröffentlichung von Informationen über die ihm gemeldeten Schwachstellen und der zugehörigen CVE-Einträge. Das NCSC ist damit nicht nur offizielle Anlaufstelle zum Melden von Sicherheitslücken in der Schweiz, sondern führt auch deren CVE-Nummern für den internationalen Austausch.

Den Infos zufolge baut das NCSC das Schwachstellen-Management erzeit weiter aus und nimmt seit März 2021 via Formular auf seiner Website Meldungen zu Schwachstellen bei Informatiksystemen und -anwendungen entgegen, um diese als Vermittlerin den zuständigen Inhaberinnen und Inhabern zu melden. Im Rahmen des Schwachstellen-Managements hat das NCSC jüngst auch die Testphase der Infrastruktur für das Covid-Zertifikat und das erste Pilot-Programm betreffend Bug Bounty in der Bundesverwaltung eng begleitet.