NTC startet Portal für gefundene Cyberschwachstellen
Das Nationale Testinstitut für Cybersicherheit lanciert einen Vulnerability Hub. Auf der Plattform dokumentiert das Institut eine Auswahl an entdeckten Sicherheitslücken - darunter solche, die die Schweizer Ladeinfrastruktur für Elektromobilität, Open-Source-Software und Anwendungen im Gesundheitswesen betreffen.
Das Nationale Testinstitut für Cybersicherheit (NTC) fungiert sozusagen als Pendant zur Eidgenössischen Materialprüfanstalt (Empa) für gesellschaftlich relevante Belange rund um IT-Sicherheit. Auf dem neu lancierten Vulnerability Hub dokumentiert das NTC nun eine Auswahl der von ihm gefundenen Sicherheitslücken. Man liste nur die wichtigsten Schwachstellen auf - weitere Einzelheiten zu getesteten Produkten und festgestellten Sicherheitsmängeln stellt das NTC fallweise zur Verfügung, heisst es auf der Webseite des Portals.
Der Hub enthält auch deswegen nur einen Auszug der laufenden Arbeiten des NTC, weil zwischen der Entdeckung und dem Publikmachen von Sicherheitslücken oftmals Monate vergehen, wie das NTC mitteilt. Gemäss den NTC-Richtlinien zur Offenlegung von Schwachstellen (PDF) informiert das Institut zunächst nur den Anbieter über eine Sicherheitslücke - dieser bekommt anschliessend eine Frist von bis zu 90 Tagen, um die Schwachstelle zu beheben, beispielsweise durch die Bereitstellung eines Patches. Dies entspricht dem in der Ethical-Hacking-Branche üblichen Responsible-Disclosure-Verfahren.
Aktuell dokumentiert das NTC im Vulnerability Hub über 80 Schwachstellen. Dazu gehören die vom NTC entdeckten Sicherheitslücken in der Schweizer Ladeinfrastruktur für Elektromobilität, in selten ausreichend getesteter Open-Source-Software sowie in Anwendungen im Gesundheitswesen, die sensible Patientendaten verarbeiten und aufgrund knapper Ressourcen und fehlender Anreize keine ausreichenden Tests durchlaufen.
Bezüglich der Schweizer Ladeinfrastruktur für Elektromobilität untersuchte das NTC zwischen Mai und August 2023 die Ladesäulen von 50 Herstellern - ein häufig festgestelltes Versäumnis der Branche ist die Verwendung eines veralteten Kommunikationsprotokolls, das für die Verwaltung und Überwachung von Ladepunkten zum Einsatz kommt.
Wie das NTC überhaupt auswählt, was es prüft, erklärt NTC-Mitgründer Raphael Reischuk hier im Interview.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Kanton Bern verlängert Frist für Steuererklärung wegen holprigem Behörden-Login
Experten entwickeln KI-Verhaltenskodex für EU-Kommission
Sunrise lanciert Reise- und Cyberversicherung
Zürcher Regierungsrat verschiebt Einführung elektronischer Verwaltungsverfahren
User unterschätzen Risiken von Biometrie und QR-Codes
Sicherheitsdemo im Middle-Earth-Stil
Neue Android-Technik trickst Nutzer aus
Berner Chatbot gewinnt KI-Preis der Uno
Perplexity lanciert KI-Browser Comet
