NCSC kann CVE-Nummern für Schwachstellen vergeben
Das Nationale Zentrum für Cybersicherheit (NCSC) ist seit gestern Teil eines weltweiten Informatiksystems und berechtigt, gemeldeten Bugs eine eindeutige Identifikationsnummer zu vergeben.
Täglich werden weltweit Schwachstellen und Anfälligkeiten in Informatiksystemen und -anwendungen entdeckt und gemeldet. Damit das Ausnutzen dieser Schwachstellen möglichst vermieden werden kann, ist deren rasche Behebung und somit die Information an die Betreiber und Hersteller von hoher Wichtigkeit. Jeder Schwachstelle, genannt Common Vulnerabilities and Exposure (CVE), wird deshalb eine eindeutige CVE-Identifizierungsnummer zugewiesen. Die Aufgabe des CVE-Programms von Mitre besteht darin, öffentlich bekannt gewordene Schwachstellen im Bereich der Cybersicherheit zu identifizieren, zu definieren und zu katalogisieren.
Das NCSC wurde von Mitre neu als Autorisierungsstelle und damit zur Vergabe von CVE-Nummern anerkannt. In dieser Rolle ist das NCSC zuständig für die Erstellung und Veröffentlichung von Informationen über die ihm gemeldeten Schwachstellen und der zugehörigen CVE-Einträge. Das NCSC ist damit nicht nur offizielle Anlaufstelle zum Melden von Sicherheitslücken in der Schweiz, sondern führt auch deren CVE-Nummern für den internationalen Austausch.
Zurzeit baut das NCSC das Schwachstellen-Management aus und nimmt seit März 2021 via Formular auf seiner Website Meldungen zu Schwachstellen bei Informatiksystemen und -anwendungen entgegen, um diese als Vermittlerin den zuständigen Inhaberinnen und Inhabern zu melden. Im Rahmen des Schwachstellen-Managements hat das NCSC jüngst auch die Testphase der Infrastruktur für das Covid-Zertifikat und das erste Pilot-Programm betreffend Bug Bounty in der Bundesverwaltung eng begleitet.
Quelle: NCSC
