Das schweizerische Nationale Zentrum für Cybersicherheit hat bekannt gegeben, dass es von der Non-Profit-Organisation Mitre dazu ermächtigt wurde, von nun an CVE-Nummern zu vergeben. Damit wird das NCSC Teil eines weltweiten Netzwerks zur Katalogisierung von Schwachstellen in Informatiksystemen.
Mitre ist weltweit für die Führung der "Common Vulnerabilities and Exposure" (CVE)-Datenbank zuständig. Security-Forscher tendieren dazu, den von ihnen entdeckten oder analysierten Schwachstellen, schicke und gefährlich tönende, aber nicht unbedingt logische Namen zu geben. Manchmal erhält die gleiche Schwachstelle auch 2 oder mehr dieser inoffiziellen Bezeichnungen. Im internationalen CVE-Programm werden neu gemeldete Schwachstellen im Bereich der Cybersicherheit dagegen unter einer nüchternen, aber eindeutigen Nummer katalogisiert und beschrieben. Dies soll die Zusammenarbeit in der internationalen Security-Szene erleichtern und Missverständnisse vermeiden.
Als von Mitre anerkannte Autorisierungsstelle zur Vergabe von CVE-Nummern ist das NCSC nun zuständig für die Erstellung und Veröffentlichung von Informationen über die ihm gemeldeten Schwachstellen und die zugehörigen CVE-Einträge. Das NCSC ist damit nicht nur die offizielle Anlaufstelle zum Melden von Sicherheitslücken in der Schweiz, sondern führt auch deren CVE-Nummern für den internationalen Austausch.
Seit März 2021 nimmt das NCSC via Formular auf seiner Website Meldungen zu Schwachstellen in Informatiksystemen und -Anwendungen entgegen. Im Rahmen des Schwachstellen-Managements habe man jüngst auch die Testphase der Infrastruktur für das Covid-Zertifikat und das erste Pilot-Programm betreffend Bug Bounty in der Bundesverwaltung eng begleitet, schreibt das NCSC.