NTC startet Portal für gefundene Cyberschwachstellen
Das Nationale Testinstitut für Cybersicherheit lanciert einen Vulnerability Hub. Auf der Plattform dokumentiert das Institut eine Auswahl an entdeckten Sicherheitslücken - darunter solche, die die Schweizer Ladeinfrastruktur für Elektromobilität, Open-Source-Software und Anwendungen im Gesundheitswesen betreffen.
Das Nationale Testinstitut für Cybersicherheit (NTC) fungiert sozusagen als Pendant zur Eidgenössischen Materialprüfanstalt (Empa) für gesellschaftlich relevante Belange rund um IT-Sicherheit. Auf dem neu lancierten Vulnerability Hub dokumentiert das NTC nun eine Auswahl der von ihm gefundenen Sicherheitslücken. Man liste nur die wichtigsten Schwachstellen auf - weitere Einzelheiten zu getesteten Produkten und festgestellten Sicherheitsmängeln stellt das NTC fallweise zur Verfügung, heisst es auf der Webseite des Portals.
Der Hub enthält auch deswegen nur einen Auszug der laufenden Arbeiten des NTC, weil zwischen der Entdeckung und dem Publikmachen von Sicherheitslücken oftmals Monate vergehen, wie das NTC mitteilt. Gemäss den NTC-Richtlinien zur Offenlegung von Schwachstellen (PDF) informiert das Institut zunächst nur den Anbieter über eine Sicherheitslücke - dieser bekommt anschliessend eine Frist von bis zu 90 Tagen, um die Schwachstelle zu beheben, beispielsweise durch die Bereitstellung eines Patches. Dies entspricht dem in der Ethical-Hacking-Branche üblichen Responsible-Disclosure-Verfahren.
Aktuell dokumentiert das NTC im Vulnerability Hub über 80 Schwachstellen. Dazu gehören die vom NTC entdeckten Sicherheitslücken in der Schweizer Ladeinfrastruktur für Elektromobilität, in selten ausreichend getesteter Open-Source-Software sowie in Anwendungen im Gesundheitswesen, die sensible Patientendaten verarbeiten und aufgrund knapper Ressourcen und fehlender Anreize keine ausreichenden Tests durchlaufen.
Bezüglich der Schweizer Ladeinfrastruktur für Elektromobilität untersuchte das NTC zwischen Mai und August 2023 die Ladesäulen von 50 Herstellern - ein häufig festgestelltes Versäumnis der Branche ist die Verwendung eines veralteten Kommunikationsprotokolls, das für die Verwaltung und Überwachung von Ladepunkten zum Einsatz kommt.
Wie das NTC überhaupt auswählt, was es prüft, erklärt NTC-Mitgründer Raphael Reischuk hier im Interview.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie die Schweiz ihre digitalen Daten besser schützen kann
OpenAI sichert sich massive Cloud-Kapazitäten von Oracle
Klugheit schützt vor Dummheit nicht
Schweizer Banken versagen bei Betrugsnotfällen
Vom IT-Systemintegrator über den Trusted Adviser zum Digital-Transformation-Partner
Update: Googles KI-Videotool Veo 3 kommt in die Schweiz
ETH-Spin-off Tinamu ernennt neuen CTO
Cybergauner fluten die Schweiz mit Echtzeit-Phishing
Wieso die KI nur in Albträumen zum wahren Schrecken wird
