Diejenigen, die uns bei unserer Cybersicherheitsmission begleiten
Wirksame Cybersicherheit beruht auf gemeinsamen Standards. Bexxo verankert seine Dienstleistungen in den international anerkanntesten Referenzen: dem CVE-Programm von MITRE (mehr als 250 000 veröffentlichte Schwachstellen-Identifier), der National Vulnerability Database des NIST, dem KEV-Katalog der CISA, dem ATT&CK-Framework, dem OWASP Top 10 und den CVSS-Standards für die Kritikalitätsbewertung.
Diese Referenzen sind keine blossen Mitgliedschaften — sie strukturieren unsere Tools konkret. CVE Find integriert direkt die Daten von MITRE, NVD und CISA, um Schwachstellenwarnungen in Echtzeit zu liefern. Unsere Web-Audits stützen sich auf die OWASP-Taxonomie. Unsere Kritikalitätswerte verwenden das CVSS des NIST.
In der Schweiz ist Bexxo dem Label Cyber Safe angegliedert und verfolgt die Veröffentlichungen des BACS (Bundesamt für Cybersicherheit), der nationalen Schweizer Behörde für Cybersicherheit. Diese Kombination aus lokaler und internationaler Verankerung stellt sicher, dass unsere Empfehlungen mit den regulatorischen Prioritäten und aktuellen Bedrohungen abgestimmt bleiben.
Swiss Label ist der Schweizer Referenzverband für Produkte und Dienstleistungen schweizerischer Qualität, gegründet 1917 unter dem Emblem der Armbrust — einem universellen Symbol schweizerischen Könnens seit mehr als 3 000 Jahren. Er wird vom Schweizerischen Gewerbeverband (sgv) verwaltet und vereint Unternehmen, die sich verpflichten, ihre Dienstleistungen in der Schweiz zu konzipieren, herzustellen und zu erbringen. Mit dem Erhalt dieses Labels zertifiziert Bexxo offiziell seine 100%ige Schweizer Verankerung: gegründet in Ins (Kanton Bern), in der Schweiz entwickelt, in der Schweiz gehostet. Das Swiss Label bietet unseren Kunden eine konkrete Garantie für Datensouveränität, Leistungsnachvollziehbarkeit und die Einhaltung schweizerischer Anforderungen — insbesondere des nDSG.
Cyber Safe ist ein Schweizer Label, das Unternehmen auszeichnet, die einen verantwortungsvollen und proaktiven Ansatz in der Cybersicherheit verfolgen. Für KMU wie auch für grössere Strukturen zugänglich, bietet es einen klaren und anerkannten Rahmen zur Stärkung ihrer digitalen Sicherheitsposition. Als assoziierter Partner unterstützt Bexxo diese Initiative, indem wir unsere Kunden für den Ansatz sensibilisieren und sie zu den notwendigen Ressourcen und Massnahmen für die Erlangung des Labels leiten.
Das BACS ist die nationale Schweizer Behörde, die für die Koordination der Cybersicherheitsbemühungen zuständig ist. Es spielt eine zentrale Rolle beim Schutz kritischer Infrastrukturen, beim nationalen Incident-Management und bei der Sensibilisierung von Unternehmen und der Öffentlichkeit. Das BACS veröffentlicht regelmässig Empfehlungen, Warnungen und Best Practices zur Stärkung der digitalen Resilienz der Schweiz. Bexxo verfolgt seine Veröffentlichungen aufmerksam, um mit den strategischen und regulatorischen nationalen Prioritäten in Sachen Cybersicherheit abgestimmt zu bleiben.
MITRE ist eine amerikanische gemeinnützige Organisation, die zwei weltweite Cybersicherheits-Referenzen geschaffen hat: das ATT&CK-Framework (14 Taktiken, mehr als 200 dokumentierte Angriffstechniken, weltweit von Tausenden von SOC-Teams genutzt) und das CVE-Programm (Common Vulnerabilities and Exposures), das seit seiner Gründung im Jahr 1999 mehr als 250 000 eindeutige Schwachstellen-Identifier vergeben hat. CVE Find von Bexxo stützt sich direkt auf die CVE-Nomenklatur von MITRE, um die Schwachstellen zu identifizieren und zu verfolgen, die die Produkte unserer Kunden betreffen.
OWASP (Open Worldwide Application Security Project) ist die weltweit massgebliche Community für Anwendungssicherheit. Sein regelmässig aktualisiertes OWASP Top 10 listet die 10 kritischsten Kategorien von Web-Schwachstellen auf und deckt die wesentlichen Lücken ab, die heute in Webanwendungen ausgenutzt werden (SQL-Injektionen, XSS, fehlerhafte Authentifizierung usw.). Unsere Web-Audits bei Bexxo stützen sich auf diese Taxonomie, um Tests und Berichte zu strukturieren und eine Abdeckung zu gewährleisten, die mit den von Anwendungssicherheitsexperten anerkannten Standards übereinstimmt.
Das CVE-Programm, das von MITRE verwaltet wird, weist jeder Schwachstelle in der IT einen eindeutigen und standardisierten Identifier zu. Dies ermöglicht eine klare Kommunikation zwischen Sicherheitsteams, Herstellern und Forschern. Das CVE-Find-Tool von Bexxo beruht direkt auf dieser Nomenklatur.
Die National Vulnerability Database (NVD), die vom NIST verwaltet wird, ist die weltweite Referenzdatenbank für die Anreicherung von CVE-Schwachstellen. Sie ergänzt jeden CVE-Identifier mit strukturierten Daten: CVSS-Score (Schweregrad von 0 bis 10), Angriffsvektor, Komplexität, Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Die NVD deckt alle veröffentlichten CVE ab — mehr als 250 000 Einträge. CVE Find integriert diese NVD-Daten, damit unsere Kunden die Kritikalität jeder erkannten Schwachstelle sofort bewerten und Korrekturmassnahmen nach dem tatsächlichen Risiko priorisieren können.
Das NIST (National Institute of Standards and Technology) ist die amerikanische Behörde, die die weltweit am meisten übernommenen Cybersicherheitsstandards entwickelt hat. Es hat das Cybersecurity Framework (CSF) entwickelt, dessen 2024 veröffentlichte Version 2.0 als Governance-Referenz von Tausenden von Organisationen in mehr als 50 Ländern genutzt wird, sowie das CVSS-System (Common Vulnerability Scoring System), den universellen Standard zur Bewertung der Schwere von Schwachstellen auf einer Skala von 0 bis 10. Bexxo verwendet CVSS in CVE Find, um Kritikalitätswerte von Schwachstellen zu berechnen und seinen Kunden bei der Priorisierung von Behebungsmassnahmen zu helfen.
Die CISA (Cybersecurity and Infrastructure Security Agency) ist die amerikanische Bundesbehörde, die für den Schutz kritischer Infrastrukturen zuständig ist. Sie veröffentlicht und pflegt den Known Exploited Vulnerabilities (KEV) Catalog, der mehr als 1 000 Schwachstellen auflistet, die in realen Angriffsszenarios bestätigt aktiv ausgenutzt werden. Dieser Katalog gilt als massgeblich: US-Bundesbehörden sind verpflichtet, diese Schwachstellen innerhalb strenger Fristen zu schliessen. CVE Find integriert die KEV-Daten, um vorrangig auf Schwachstellen hinzuweisen, die ein unmittelbares — nicht nur theoretisches — Ausnutzungsrisiko darstellen.
Das Forum of Incident Response and Security Teams (FIRST) bündelt die weltweiten Incident-Response-Teams und fördert den Informationsaustausch sowie Koordinationsstandards. CVE Find folgt den Empfehlungen und Verbreitungsformaten von FIRST (insbesondere CVSS und EPSS).
Häufige Fragen zu den Referenzen und Zertifizierungen von Bexxo
Was ist das Schweizer Label Cyber Safe?
Cyber Safe ist ein Schweizer Cybersicherheitslabel, das zertifiziert, dass das ausgezeichnete Unternehmen geeignete und anerkannte IT-Sicherheitsmassnahmen anwendet. Es ist für KMU wie auch für grössere Strukturen zugänglich und bietet einen strukturierten Rahmen zur Stärkung der digitalen Sicherheitsposition. Das Label wird nach Bewertung der Unternehmenspraktiken gemäss definierten Kriterien vergeben. Bexxo ist assoziierter Partner von Cyber Safe: Wir begleiten unsere Kunden, die eine Zertifizierung anstreben oder festigen möchten.
Welche Rolle spielt das BACS in der Cybersicherheit in der Schweiz?
Das BACS (Bundesamt für Cybersicherheit, ehemals NCSC) ist die nationale Schweizer Behörde, die für die Koordination des Schutzes kritischer Infrastrukturen, das Management nationaler Cybersicherheitsvorfälle und die Sensibilisierung von Unternehmen und Öffentlichkeit zuständig ist. Es veröffentlicht regelmässig Warnungen, Empfehlungen und Berichte über aktuelle Bedrohungen. Bexxo verfolgt seine Veröffentlichungen, um mit den strategischen und regulatorischen Schweizer Prioritäten abgestimmt zu bleiben — insbesondere im Kontext des nDSG (neues Datenschutzgesetz).
Wie verwendet CVE Find die Daten von MITRE, NVD und CISA?
CVE Find ist das Schwachstellen-Überwachungstool von Bexxo. Es aggregiert drei weltweite Referenzquellen: (1) das CVE-Programm von MITRE, das jeder bekannten Schwachstelle einen eindeutigen Identifier zuweist (250 000+ veröffentlichte CVE); (2) die National Vulnerability Database (NVD) des NIST, die jeden CVE mit einem CVSS-Score von 0 bis 10 und detaillierten technischen Daten anreichert; (3) den KEV-Katalog der CISA, der Schwachstellen auflistet, die in realen Angriffen aktiv ausgenutzt werden. Diese Kombination ermöglicht es CVE Find, unsere Kunden nicht nur über neue Schwachstellen zu warnen, sondern vorrangig über diejenigen, die ein unmittelbares Ausnutzungsrisiko darstellen.
Was ist das OWASP Top 10 und wie wird es in den Web-Audits von Bexxo eingesetzt?
Das OWASP Top 10 ist die weltweite Referenzliste der 10 kritischsten Kategorien von Web-Schwachstellen, die von OWASP (Open Worldwide Application Security Project) gepflegt wird. Sie umfasst SQL-Injektionen, Authentifizierungsfehler, Offenlegung sensibler Daten, Cross-Site Scripting (XSS), Sicherheitsfehlkonfigurationen und andere wichtige anwendungsbezogene Angriffsvektoren. Unsere Web-Audits stützen sich auf diese Taxonomie, um Tests zu strukturieren, erkannte Schwachstellen zu klassifizieren und Empfehlungen in den Berichten zu priorisieren — mit einer Abdeckung, die mit den weltweit anerkannten Standards der Anwendungssicherheitsexperten übereinstimmt.
Warum stützt sich Bexxo auf das CVSS des NIST zur Bewertung der Kritikalität von Schwachstellen?
Das CVSS (Common Vulnerability Scoring System), entwickelt vom NIST, ist der universelle Standard zur Bewertung der Schwere von Schwachstellen. Es ordnet jeder Schwachstelle einen Score von 0 bis 10 nach objektiven Kriterien zu: Angriffsvektor (Netzwerk, lokal, physisch), Ausnutzungskomplexität, erforderliche Berechtigungen, Nutzerinteraktion und Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Verwendung von CVSS ermöglicht es Bexxo, die Kritikalität von Schwachstellen in einer von allen IT-Fachleuten verstandenen Standardsprache zu kommunizieren — und unseren Kunden, die Ergebnisse ihrer Audits mit weltweit anerkannten Benchmarks zu vergleichen.
Cyber Safe ist ein Schweizer Cybersicherheitslabel, das zertifiziert, dass das ausgezeichnete Unternehmen geeignete und anerkannte IT-Sicherheitsmassnahmen anwendet. Es ist für KMU wie auch für grössere Strukturen zugänglich und bietet einen strukturierten Rahmen zur Stärkung der digitalen Sicherheitsposition. Das Label wird nach Bewertung der Unternehmenspraktiken gemäss definierten Kriterien vergeben. Bexxo ist assoziierter Partner von Cyber Safe: Wir begleiten unsere Kunden, die eine Zertifizierung anstreben oder festigen möchten.
Das BACS (Bundesamt für Cybersicherheit, ehemals NCSC) ist die nationale Schweizer Behörde, die für die Koordination des Schutzes kritischer Infrastrukturen, das Management nationaler Cybersicherheitsvorfälle und die Sensibilisierung von Unternehmen und Öffentlichkeit zuständig ist. Es veröffentlicht regelmässig Warnungen, Empfehlungen und Berichte über aktuelle Bedrohungen. Bexxo verfolgt seine Veröffentlichungen, um mit den strategischen und regulatorischen Schweizer Prioritäten abgestimmt zu bleiben — insbesondere im Kontext des nDSG (neues Datenschutzgesetz).
CVE Find ist das Schwachstellen-Überwachungstool von Bexxo. Es aggregiert drei weltweite Referenzquellen: (1) das CVE-Programm von MITRE, das jeder bekannten Schwachstelle einen eindeutigen Identifier zuweist (250 000+ veröffentlichte CVE); (2) die National Vulnerability Database (NVD) des NIST, die jeden CVE mit einem CVSS-Score von 0 bis 10 und detaillierten technischen Daten anreichert; (3) den KEV-Katalog der CISA, der Schwachstellen auflistet, die in realen Angriffen aktiv ausgenutzt werden. Diese Kombination ermöglicht es CVE Find, unsere Kunden nicht nur über neue Schwachstellen zu warnen, sondern vorrangig über diejenigen, die ein unmittelbares Ausnutzungsrisiko darstellen.
Das OWASP Top 10 ist die weltweite Referenzliste der 10 kritischsten Kategorien von Web-Schwachstellen, die von OWASP (Open Worldwide Application Security Project) gepflegt wird. Sie umfasst SQL-Injektionen, Authentifizierungsfehler, Offenlegung sensibler Daten, Cross-Site Scripting (XSS), Sicherheitsfehlkonfigurationen und andere wichtige anwendungsbezogene Angriffsvektoren. Unsere Web-Audits stützen sich auf diese Taxonomie, um Tests zu strukturieren, erkannte Schwachstellen zu klassifizieren und Empfehlungen in den Berichten zu priorisieren — mit einer Abdeckung, die mit den weltweit anerkannten Standards der Anwendungssicherheitsexperten übereinstimmt.
Das CVSS (Common Vulnerability Scoring System), entwickelt vom NIST, ist der universelle Standard zur Bewertung der Schwere von Schwachstellen. Es ordnet jeder Schwachstelle einen Score von 0 bis 10 nach objektiven Kriterien zu: Angriffsvektor (Netzwerk, lokal, physisch), Ausnutzungskomplexität, erforderliche Berechtigungen, Nutzerinteraktion und Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Verwendung von CVSS ermöglicht es Bexxo, die Kritikalität von Schwachstellen in einer von allen IT-Fachleuten verstandenen Standardsprache zu kommunizieren — und unseren Kunden, die Ergebnisse ihrer Audits mit weltweit anerkannten Benchmarks zu vergleichen.