Zum Inhalt springen

Vulnerability Assessment

Bericht an das Leitungsorgan

DORA-konformer Bericht gemäß Art. 5 Abs. 2 über den Status des Vulnerability Managements für den Berichtszeitraum Q2 2026 (01.04.2026 – 30.06.2026).

Hinweis: Dieser Bericht ist ein Beispiel und dient der Orientierung. Die enthaltenen Daten sind fiktiv und nicht als tatsächliche Sicherheitsbewertung zu verstehen. Ein Bericht an das Leitungsorgan muss institutsspezifisch erstellt werden und die tatsächliche Risikolage des Instituts abbilden.
← Zurück zur Übersicht

Vertraulich — Nur für den internen Gebrauch

Vulnerability Management Statusbericht

Berichtszeitraum: Q2 2026 (01.04.2026 – 30.06.2026)

Berichtsdatum: 2026-07-10

Nächster Bericht: 2026-10-15 (Q3 2026)

DORA Art. 5 Abs. 2

📥 JSON Export 📄 DOCX Export 🖨️ PDF (Drucken)

Management Summary

Im Berichtszeitraum wurden 12.847 Schwachstellen identifiziert, davon 47 kritische (0,4 %) und 312 hohe (2,4 %). Die Zahl der kritischen Schwachstellen ist im Vergleich zum Vorquartal um 23 % gesunken. Alle kritischen Schwachstellen wurden innerhalb der vereinbarten SLA von 24 Stunden bearbeitet. 3 kritische Findings befinden sich in Risikoakzeptanz mit dokumentierten Kompensationsmassnahmen. Die Gesamtzahl der offenen Findings über alle Schweregrade beträgt 1.247.

47

Kritische Findings

−23 % zum Vorquartal

312

Hohe Findings

−12 % zum Vorquartal

1.247

Offene Findings gesamt

+5 % zum Vorquartal

98,7 %

SLA-Einhaltung (kritisch)

Ziel: ≥ 98 %

3

Risikoakzeptanzen

2 laufen in ≤ 30 Tagen ab

Verteilung nach Schweregrad

Critical47 (0,4 %)
High312 (2,4 %)
Medium2.891 (22,5 %)
Low9.597 (74,7 %)

Critical Findings nach Kategorie

Injection / XSS / SQLi14
Broken Authentication9
BOLA / IDOR8
Security Misconfiguration7
Dependency / SBOM5
Excessive Data Exposure4

Top-5 kritische Findings

ID Finding CVSS Asset Status SLA Owner
CVE-2026-1187SQL Injection in Core-Banking-API10.0core-banking-api-01In BearbeitungIn SLABackend-Team
CVE-2026-0942Remote Code Execution in Payment-Gateway9.8payment-gw-02GeschlossenIn SLAPlatform-Team
CVE-2026-1453Broken Object Level Authorization in Kundenportal9.1kundenportal-webIn BearbeitungIn SLAFrontend-Team
CVE-2026-2077Authentication Bypass in Admin-API9.4admin-api-01ÜberfälligSLA +2 TageSecurity-Team
CVE-2026-3122Mass Assignment in User-Update-Endpoint8.9user-svc-01GeschlossenIn SLABackend-Team

SLA-Einhaltung

Critical98,7 %

Ziel ≥ 98 % — erreicht

High95,2 %

Ziel ≥ 95 % — erreicht

Medium87,3 %

Ziel ≥ 90 % — nicht erreicht (−2,7 %)

Trend (letzte 4 Quartale)

Q3 2025
62
Q4 2025
55
Q1 2026
61
Q2 2026
47

Kritische Findings: Rückgang um 24 % im Vorjahresvergleich (Q2 2025 → Q2 2026)

Aktive Risikoakzeptanzen

Finding Begründung Kompensationsmassnahme Läuft ab Owner
CVE-2026-1187 SQL InjectionLegacy-System, Migrationsprojekt Q3 2026 läuftWAF-Regel + Eingeschränkter Zugriff + Monitoring30.09.2026CISO
CVE-2026-2077 Auth BypassDrittanbieter-Komponente, Patch in VorbereitungZusätzliche Authentifizierungsschicht + Audit-Log15.08.2026 (≤ 30 Tage)CISO
CVE-2026-4511 SSL ConfigNiedriges Risiko, Kompensationsmassnahme aktivTLS 1.3 Prioritisation + regelmässiger Scan31.12.2026Security-Team

DORA-Compliance-Status

Art. 5 IKT-Risikomanagement

✓ Erfüllt

Regelmässige Berichterstattung etabliert

Art. 24 Testprogramm

✓ Erfüllt

Wöchentliche Scans + monatliches Assessment

Art. 25 Schwachstellen

✓ Erfüllt

Validierte, priorisierte Findings mit SLA

Art. 26-27 TLPT

⏳ In Planung

Nächster TLPT: Q1 2027

Entscheidungsvorlagen und Beschlussvorschläge

Jede Vorlage enthält Sachverhalt, Risikobewertung, Handlungsoptionen und einen konkreten Beschlussvorschlag für das Leitungsorgan. Der Beschlussstatus wird lokal gespeichert.

Beschlüsse: gefasst

Erstellt von

CISO / IKT-Risikomanagement

Berichtsdatum: 2026-07-10

Nächster Bericht

2026-10-15 (Q3 2026)

Berichtszyklus: Quartalsweise

Dieser Bericht dient der Erfüllung der Berichtspflicht gemäss DORA Artikel 5 Absatz 2. Er wurde auf Basis der validierten Findings des Vulnerability Assessments erstellt und spiegelt den aktuellen Stand zum Berichtsdatum wider. Alle Angaben sind fiktiv und dienen als Beispiel.