Vulnerability Assessment
Bericht an das Leitungsorgan
DORA-konformer Bericht gemäß Art. 5 Abs. 2 über den Status des Vulnerability Managements für den Berichtszeitraum Q2 2026 (01.04.2026 – 30.06.2026).
Vertraulich — Nur für den internen Gebrauch
Vulnerability Management Statusbericht
Berichtszeitraum: Q2 2026 (01.04.2026 – 30.06.2026)
Berichtsdatum: 2026-07-10
Nächster Bericht: 2026-10-15 (Q3 2026)
DORA Art. 5 Abs. 2
Management Summary
Im Berichtszeitraum wurden 12.847 Schwachstellen identifiziert, davon 47 kritische (0,4 %) und 312 hohe (2,4 %). Die Zahl der kritischen Schwachstellen ist im Vergleich zum Vorquartal um 23 % gesunken. Alle kritischen Schwachstellen wurden innerhalb der vereinbarten SLA von 24 Stunden bearbeitet. 3 kritische Findings befinden sich in Risikoakzeptanz mit dokumentierten Kompensationsmassnahmen. Die Gesamtzahl der offenen Findings über alle Schweregrade beträgt 1.247.
47
Kritische Findings
−23 % zum Vorquartal
312
Hohe Findings
−12 % zum Vorquartal
1.247
Offene Findings gesamt
+5 % zum Vorquartal
98,7 %
SLA-Einhaltung (kritisch)
Ziel: ≥ 98 %
3
Risikoakzeptanzen
2 laufen in ≤ 30 Tagen ab
Verteilung nach Schweregrad
Critical Findings nach Kategorie
Top-5 kritische Findings
| ID | Finding | CVSS | Asset | Status | SLA | Owner |
|---|---|---|---|---|---|---|
| CVE-2026-1187 | SQL Injection in Core-Banking-API | 10.0 | core-banking-api-01 | In Bearbeitung | In SLA | Backend-Team |
| CVE-2026-0942 | Remote Code Execution in Payment-Gateway | 9.8 | payment-gw-02 | Geschlossen | In SLA | Platform-Team |
| CVE-2026-1453 | Broken Object Level Authorization in Kundenportal | 9.1 | kundenportal-web | In Bearbeitung | In SLA | Frontend-Team |
| CVE-2026-2077 | Authentication Bypass in Admin-API | 9.4 | admin-api-01 | Überfällig | SLA +2 Tage | Security-Team |
| CVE-2026-3122 | Mass Assignment in User-Update-Endpoint | 8.9 | user-svc-01 | Geschlossen | In SLA | Backend-Team |
SLA-Einhaltung
Ziel ≥ 98 % — erreicht
Ziel ≥ 95 % — erreicht
Ziel ≥ 90 % — nicht erreicht (−2,7 %)
Trend (letzte 4 Quartale)
Kritische Findings: Rückgang um 24 % im Vorjahresvergleich (Q2 2025 → Q2 2026)
Aktive Risikoakzeptanzen
| Finding | Begründung | Kompensationsmassnahme | Läuft ab | Owner |
|---|---|---|---|---|
| CVE-2026-1187 SQL Injection | Legacy-System, Migrationsprojekt Q3 2026 läuft | WAF-Regel + Eingeschränkter Zugriff + Monitoring | 30.09.2026 | CISO |
| CVE-2026-2077 Auth Bypass | Drittanbieter-Komponente, Patch in Vorbereitung | Zusätzliche Authentifizierungsschicht + Audit-Log | 15.08.2026 (≤ 30 Tage) | CISO |
| CVE-2026-4511 SSL Config | Niedriges Risiko, Kompensationsmassnahme aktiv | TLS 1.3 Prioritisation + regelmässiger Scan | 31.12.2026 | Security-Team |
DORA-Compliance-Status
Art. 5 IKT-Risikomanagement
✓ Erfüllt
Regelmässige Berichterstattung etabliert
Art. 24 Testprogramm
✓ Erfüllt
Wöchentliche Scans + monatliches Assessment
Art. 25 Schwachstellen
✓ Erfüllt
Validierte, priorisierte Findings mit SLA
Art. 26-27 TLPT
⏳ In Planung
Nächster TLPT: Q1 2027
Entscheidungsvorlagen und Beschlussvorschläge
Jede Vorlage enthält Sachverhalt, Risikobewertung, Handlungsoptionen und einen konkreten Beschlussvorschlag für das Leitungsorgan. Der Beschlussstatus wird lokal gespeichert.
Sachverhalt
Eintrittswahrscheinlichkeit
Schadensausmass
DORA-Bezug
Handlungsoptionen
Empfehlung des CISO
Beschlussvorschlag
Erstellt von
CISO / IKT-Risikomanagement
Berichtsdatum: 2026-07-10
Nächster Bericht
2026-10-15 (Q3 2026)
Berichtszyklus: Quartalsweise
Dieser Bericht dient der Erfüllung der Berichtspflicht gemäss DORA Artikel 5 Absatz 2. Er wurde auf Basis der validierten Findings des Vulnerability Assessments erstellt und spiegelt den aktuellen Stand zum Berichtsdatum wider. Alle Angaben sind fiktiv und dienen als Beispiel.