Das Nationale Testinstitut für Cybersicherheit (NTC) hat den
"Vulnerability Hub" lanciert. Das NTC führt Cybersicherheitsprüfungen von vernetzten Infrastrukturen, Geräten und Anwendungen durch. Neu sollen die gefundenen Sicherheitslücken nun im Vulnerability Hub bekannt gegeben werden.
Um dies gleich vorauszuschicken: Trotz des Namens ist das in Zug beheimatete NTC keine Einrichtung des Bundes, sondern ein
teilweise vom Kanton Zug finanzierter Verein, der ein eigentliches nationales Testinstitut aufbauen möchte.
Als nicht gewinnorientierter Verein testet das NTC auf eigene Initiative digitale Systeme, von denen es glaubt, dass sie nicht ausreichend getestet werden, sei es aufgrund fehlender Anreize oder gesetzlicher Verpflichtungen. Zusätzlich führt es auch Sicherheitsprüfungen im Auftrag von Betreibern kritischer Infrastrukturen und von Behörden durch.
Verantwortungsbewusste Veröffentlichung
Aktuell, so das NTC, habe man auf dem Vulnerability Hub rund 80 Schwachstellen veröffentlicht. Diese betreffen unter anderem
die Schweizerische Ladeinfrastruktur für Elektromobilität, Open-Source-Software und Anwendungen im Gesundheitswesen. Diese, so das NTC, verarbeiten sensible Patientendaten, können aber aufgrund knapper Ressourcen und fehlender Anreize oft nicht ausreichend getestet werden.
In der Regel, so der Verein, enthalte der Vulnerability Hub eine Beschreibung der identifizierten Schwachstelle, eine Bewertung der möglichen Auswirkungen auf betroffene Systeme und Hinweise auf Workarounds oder Updates.
Vor der Veröffentlichung einer Schwachstelle folgt das NTC aber den Regeln für Responsible Disclosure. Das heisst, dass als erstes der Hersteller informiert wird, damit dieser einen Patch zur Verfügung stellen kann, bevor die Schwachstelle veröffentlicht wird.