Cybersicherheit 30.09.2021, 07:35 Uhr

NCSC kann CVE-Nummern für Schwachstellen vergeben

Das Nationale Zentrum für Cybersicherheit (NCSC) ist ab sofort Teil des weltweiten Netzwerks zur Verwaltung von Schwachstellen in Informatiksystemen. Damit ist das NCSC nun berechtigt, gemeldeten Bugs eine eindeutige Identifikationsnummer zu vergeben.
(Quelle: Rifkie Drajat Putra Pratama/Pixabay)
Täglich werden weltweit Schwachstellen und Anfälligkeiten in Informatiksystemen und -anwendungen entdeckt und gemeldet. Damit das Ausnutzen dieser Sicherheitslücken möglichst vermieden werden kann, ist deren rasche Behebung und somit die Information an die Betreiber und Hersteller von hoher Wichtigkeit. Jeder Schwachstelle, genannt Common Vulnerabilities and Exposure (CVE), wird deshalb eine eindeutige CVE-Identifizierungsnummer zugewiesen. Die Aufgabe des CVE-Programms von Mitre, einem US-Verbund von Forschungsinstituten, besteht darin, öffentlich bekannt gewordene Bugs im Bereich der Cybersicherheit zu identifizieren, zu definieren und zu katalogisieren.
Das Nationale Zentrum für Cybersicherheit (NCSC) wurde nun von Mitre neu als Autorisierungsstelle und damit zur Vergabe von CVE-Nummern anerkannt. In dieser Rolle ist das NCSC zuständig für die Erstellung und Veröffentlichung von Informationen über die ihm gemeldeten Sicherheitslücken und der zugehörigen CVE-Einträge. Das NCSC ist damit nicht nur offizielle Anlaufstelle zum Melden von Sicherheitslücken in der Schweiz, sondern führt auch deren CVE-Nummern für den internationalen Austausch.

Ausbau des Schwachstellenmanagements

Zurzeit baut das NCSC zudem das Schwachstellen-Management aus und nimmt seit März 2021 via Formular auf seiner Website Meldungen zu Sicherheitslücken bei Informatiksystemen und -anwendungen entgegen, um diese als Vermittlerin den zuständigen Inhaberinnen und Inhabern zu melden. Im Rahmen des Schwachstellen-Managements hat das NCSC jüngst auch die Testphase der Infrastruktur für das Covid-Zertifikat und das erste Pilot-Programm betreffend Bug Bounty in der Bundesverwaltung begleitet.



Kommentare

Es sind keine Kommentare vorhanden.