Vulnerability Hub

NTC startet Portal für gefundene Cyberschwachstellen

Uhr
von Joël Orizet und cka

Das Nationale Testinstitut für Cybersicherheit lanciert einen Vulnerability Hub. Auf der Plattform dokumentiert das Institut eine Auswahl an entdeckten Sicherheitslücken - darunter solche, die die Schweizer Ladeinfrastruktur für Elektromobilität, Open-Source-Software und Anwendungen im Gesundheitswesen betreffen.

Auf dem neu lancierten Vulnerability Hub dokumentiert das NTC die wichtigsten von ihm entdeckten Sicherheitslücken. (Source: zVg)
Auf dem neu lancierten Vulnerability Hub dokumentiert das NTC die wichtigsten von ihm entdeckten Sicherheitslücken. (Source: zVg)

Das Nationale Testinstitut für Cybersicherheit (NTC) fungiert sozusagen als Pendant zur Eidgenössischen Materialprüfanstalt (Empa) für gesellschaftlich relevante Belange rund um IT-Sicherheit. Auf dem neu lancierten Vulnerability Hub dokumentiert das NTC nun eine Auswahl der von ihm gefundenen Sicherheitslücken. Man liste nur die wichtigsten Schwachstellen auf - weitere Einzelheiten zu getesteten Produkten und festgestellten Sicherheitsmängeln stellt das NTC fallweise zur Verfügung, heisst es auf der Webseite des Portals.

Der Hub enthält auch deswegen nur einen Auszug der laufenden Arbeiten des NTC, weil zwischen der Entdeckung und dem Publikmachen von Sicherheitslücken oftmals Monate vergehen, wie das NTC mitteilt. Gemäss den NTC-Richtlinien zur Offenlegung von Schwachstellen (PDF) informiert das Institut zunächst nur den Anbieter über eine Sicherheitslücke - dieser bekommt anschliessend eine Frist von bis zu 90 Tagen, um die Schwachstelle zu beheben, beispielsweise durch die Bereitstellung eines Patches. Dies entspricht dem in der Ethical-Hacking-Branche üblichen Responsible-Disclosure-Verfahren. 

Aktuell dokumentiert das NTC im Vulnerability Hub über 80 Schwachstellen. Dazu gehören die vom NTC entdeckten Sicherheitslücken in der Schweizer Ladeinfrastruktur für Elektromobilität, in selten ausreichend getesteter Open-Source-Software sowie in Anwendungen im Gesundheitswesen, die sensible Patientendaten verarbeiten und aufgrund knapper Ressourcen und fehlender Anreize keine ausreichenden Tests durchlaufen. 

Bezüglich der Schweizer Ladeinfrastruktur für Elektromobilität untersuchte das NTC zwischen Mai und August 2023 die Ladesäulen von 50 Herstellern - ein häufig festgestelltes Versäumnis der Branche ist die Verwendung eines veralteten Kommunikationsprotokolls, das für die Verwaltung und Überwachung von Ladepunkten zum Einsatz kommt. 

 

Wie das NTC überhaupt auswählt, was es prüft, erklärt NTC-Mitgründer Raphael Reischuk hier im Interview

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
nGe23eka