Common Vulnerabilities and Exposures (CVEs)

Verstehen und verwalten Sie Schwachstellen über Ihre gesamte Angriffsfläche mit Klarheit und Zuversicht.

Entdecken Sie Exposure Command

Was sind Common Vulnerabilities and Exposures (CVEs)? 

Common Vulnerabilities and Exposures (CVEs) sind der weltweite Standard zur Identifizierung und Katalogisierung von Schwachstellen und Bedrohungen in der Cybersecurity von Software und Hardware. Die CVE-Datenbank wurde 1999 von der MITRE Corporation mit Unterstützung der US-Regierung gegründet und ist zur Grundlage für effektives Schwachstellenmanagement und Cybersecurity -Koordination weltweit geworden.

Das Verständnis der Bedeutung von CVE ist für Organisationen entscheidend: Es zeigt den Unterschied zwischen einer Schwachstelle (einem spezifischen Fehler, der ausgenutzt werden kann) und einer Bedrohung (einer Fehlkonfiguration oder Schwäche, die zu Sicherheitsverletzungen führen kann) auf.

Die CVE-Datenbank dient als zentraler Referenzpunkt für Cybersecurity-Fachleute, die es ihnen ermöglicht, Schwachstellen effektiv zu verfolgen und zu verwalten sowie Informationen über verschiedene Sicherheitstools und -plattformen hinweg auszutauschen. Diese Standardisierung ermöglicht es Teams, Reaktionen auf neue Bedrohungen zu koordinieren und ihre Patching - und Gegenmaßnahmen effizient zu priorisieren.

Was sind CVE-Kennungen? 

CVE-Kennungen, auch als CVE-IDs oder CVE-Namen bekannt, sind ein standardisiertes Format, das wesentliche Informationen darüber bereitstellt, wann eine Schwachstelle identifiziert wurde. Jeder Identifikator besteht aus dem CVE-Präfix, gefolgt vom Jahr der Entdeckung und einer Reihe beliebiger Ziffern, die der Reihe nach vergeben werden. Zum Beispiel zeigt in CVE-2024-1234 "CVE" an, dass es sich um eine CVE-Kennung handelt, "2024" steht für das Jahr der Identifizierung, und "1234" ist die eindeutige Sequenznummer.

CVE-Zuweisungsprozess

Ungefähr 100 CVE Numbering Authorities (CNAs) verwalten weltweit die Zuweisung von CVEs. Zu diesen Behörden zählen bedeutende Technologieorganisationen wie Microsoft, Red Hat, Apple und Cisco sowie regionale Koordinationszentren und Sicherheitsforschungsorganisationen. Jeder CNA arbeitet innerhalb seines spezifischen Verantwortungsbereichs, sei es für eigene Produkte, eine geografische Region oder eine bestimmte Branche.

CNAs folgen einem strukturierten Prozess zur Zuweisung von Kennungen. Root-CNAs, wie MITRE Corporation, beaufsichtigen und koordinieren andere CNAs und pflegen die zentrale CVE-Datenbank. Primäre CNAs haben die Befugnis, CVEs für Schwachstellen in ihrem Zuständigkeitsbereich zuzuweisen und können Sub-CNAs benennen. Diese hierarchische Struktur gewährleistet eine umfassende Abdeckung und wahrt gleichzeitig die Konsistenz bei der Dokumentation und Verfolgung von Schwachstellen.

Organisationen, die daran interessiert sind, CNAs zu werden, müssen ihre Sicherheitskompetenz und ihr Engagement für die Prinzipien des CVE-Programms unter Beweis stellen. Eine Organisation wird typischerweise einem gründlichen Evaluierungsprozess unterzogen und muss spezifische Betriebsstandards einhalten, einschließlich dedizierter Cybersecurity-Teams und etablierter Verfahren zur Handhabung von Schwachstellen. Dieser rigorose Ansatz hilft, die Integrität des CVE-Systems zu wahren und gleichzeitig seine globale Reichweite zu erweitern.

Was qualifiziert sich als CVE? 

Nicht jedes Sicherheitsproblem qualifiziert sich für eine CVE. Um für ein CVE in Frage zu kommen, muss eine Schwachstelle bestimmte Kriterien erfüllen: sie muss 

  1. Vom Anbieter oder Projektbesitzer unabhängig behoben werden können
  2. Vom betroffenen Anbieter anerkannt oder durch Beweise nachgewiesen werden
  3. Eine Codebasis, ein Produkt oder ein Protokoll betreffen
  4. Eine deutliche Auswirkung auf die Sicherheit haben

Arten von qualifizierten Schwachstellen

Verschiedene Arten von Schwachstellen qualifizieren sich typischerweise für den CVE-Status. Zu den gängigen Beispielen gehören: 

Nicht alle Sicherheitsbedenken rechtfertigen einen Eintrag in die CVE-Datenbank. Schwachstellen in maßgeschneiderten internen Anwendungen qualifizieren sich in der Regel nicht, ebenso wenig wie Probleme, die physischen Zugriff auf Systeme erfordern. Auch theoretische Schwachstellen ohne Proof of Concept und mehrere Schwachstellen, die mit einem einzigen Patch behoben werden können, sind in der Regel vom CVE-System ausgeschlossen.

Wie funktionieren CVE-Systeme? 

Das CVE-System funktioniert, indem es einem strukturierten Lifecycle von der Entdeckung bis zur Veröffentlichung folgt, wobei mehrere Phasen und Stakeholder in den Prozess einbezogen werden. 

Erkennung und erstes Reporting

Der Prozess der Schwachstellenerkennung verläuft typischerweise in mehreren Phasen, an denen jeweils unterschiedliche Stakeholder beteiligt sind und eine sorgfältige Koordination erforderlich ist. Sicherheitsforscher beginnen häufig damit, potenzielle Schwachstellen durch systematische Tests, Codeanalysen oder unerwartetes Systemverhalten zu identifizieren.

Organisationen mit ausgereiften Sicherheitsprogrammen setzen häufig kontinuierliches Monitoring und automatisierte Scans ein, um potenzielle Schwachstellen zu erkennen, bevor sie ausgenutzt werden können.

Die Phase der verantwortungsvollen Offenlegung erfordert eine sorgfältige Abwägung zwischen Transparenz und Sicherheit. Wenn Forscher eine Schwachstelle entdecken, geben sie den Anbietern in der Regel einen angemessenen Zeitrahmen – oft 90 Tage – um Patches zu entwickeln und zu testen, bevor sie diese öffentlich bekanntgeben. Dieser Koordinierungszeitraum ermöglicht Folgendes:

  • Gründliche Überprüfung der Schwachstellen und deren Auswirkungen
  • Entwicklung und Testen von Sicherheitspatches
  • Vorbereitung von Benutzerbenachrichtigungen und Anleitung zur Schadensbegrenzung
  • Koordination mit betroffenen nachgelagerten Anbietern und Produkten

Viele Organisationen haben formalisierte Bug-Bounty-Programme, die Richtlinien und Anreize für eine verantwortungsvolle Offenlegung bieten. Diese Programme umfassen häufig detaillierte Umfangsdefinitionen, Testgrenzen und Vergütungsstrukturen, die auf dem Schweregrad und dem Einfluss von Schwachstellen basieren.

Verifizierungs- und Zuordnungsprozess

Die MITRE Corporation verwaltet die CVE-Liste mit Unterstützung der Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Department of Homeland Security (DHS). Der Verifizierungsprozess umfasst eine gründliche Bewertung der Schwachstelle anhand festgelegter Kriterien, die Überprüfung der technischen Dokumentation und die Bewertung der Auswirkungen. Sobald die Schwachstelle verifiziert ist, erhält sie eine CVE ID, und die Informationen werden zur Veröffentlichung vorbereitet.

Die National Vulnerability Database (NVD) ergänzt CVE-Einträge mit detaillierten Analysen, CVSS-Scores, Schwachstellentypen, betroffenen Plattformen und Auswirkungsbewertungen. Diese zusätzlichen Informationen helfen Organisationen, Sicherheitsbedrohungen besser zu verstehen und darauf zu reagieren.

Was ist das Common Vulnerability Scoring System (CVSS)?

Das Common Vulnerability Scoring System (CVSS) ist eine standardisierte Methode zur Bewertung des Schweregrads von Schwachstellen, die Organisationen dabei hilft, ihre Sicherheitsmaßnahmen zu priorisieren. Das System berücksichtigt verschiedene Metriken, um eine umfassende Punktzahl zu berechnen, die die tatsächlichen Auswirkungen einer Schwachstelle widerspiegelt.

Basisbewertungsmetriken bewerten grundlegende Merkmale wie Angriffsvektor, Komplexität, erforderliche Berechtigungen und Benutzerinteraktion. Das System berücksichtigt auch den Umfang der Schwachstelle und deren potenzielle Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die CVSS-Schweregradbewertungen lassen sich in fünf Kategorien einteilen:

  • Kritisch (9,0-10,0): Erfordert sofortige Aufmerksamkeit
  • Hoch (7,0-8,9): Erhebliche Sicherheitsauswirkungen
  • Medium (4,0-6,9): Mäßige Sicherheitsbedenken
  • Niedrig (0,1–3,9): Geringe Sicherheitsauswirkungen
  • Keine (0,0): Keine Sicherheitsauswirkungen

Welche Vorteile bieten CVEs?

CVEs bieten bedeutende Vorteile für moderne Cybersecurity-Operationen. Zu den drei wichtigsten Vorteilen gehören: 

  • Standardisierte Kommunikation: Ermöglicht klare Diskussionen über Schwachstellen zwischen Teams und verbessert die Koordination während der Incident Response 
  • Verbessertes Sicherheitsmanagement: Unterstützt eine effektive Priorisierung von Schwachstellen und ermöglicht umfassende Sicherheitsaudits
  • Strategischer Wert: Reduziert die Zeiten und Kosten für die Behebung und unterstützt gleichzeitig Initiativen zur Sicherheitsautomatisierung.

Moderne Security Operations Center (SOCs) integrieren zunehmend CVE-Informationen in ihre automatisierten Arbeitsabläufe. Diese Integration ermöglicht Echtzeit-Erkennung von Schwachstellen, automatische Ticketerstellung und priorisierte Behebung basierend auf CVSS-Werten und den Auswirkungen auf die Organisation. Fortschrittliche Sicherheitsplattformen können CVE-Daten mit Threat Intelligence-Feeds korrelieren, um kontextsensitive Risikobewertungen und proaktive Threat Hunting-Funktionen bereitzustellen.

Industrien mit spezifischen Sicherheitsanforderungen, wie das Gesundheitswesen und die Finanzdienstleistungsbranche, verlassen sich stark auf CVE-Schwachstelleninformationen für die Einhaltung von Vorschriften und das Risikomanagement. Gesundheitsorganisationen verwenden CVE-Daten, um medizinische Geräte und Patienteninformationssysteme zu schützen, während Finanzinstitute sie nutzen, um Transaktionsverarbeitungssysteme und Kundendaten zu sichern. Regierungsbehörden und Betreiber kritischer Infrastrukturen verlassen sich auf CVE-Informationen, um nationale Sicherheitsinteressen und essenzielle Dienste zu schützen.

Die strategischen Vorteile der CVE-Implementierung erstrecken sich auf DevSecOps-Praktiken. Organisationen, die Sicherheit in ihren Softwareentwicklungslebenszyklus integrieren, nutzen CVE-Informationen, um:

Da sich Cyberbedrohungen ständig weiterentwickeln, bleibt das CVE-System für die moderne Cybersecurity von entscheidender Bedeutung und bildet die Grundlage für das Schwachstellenmanagement und die Zusammenarbeit in der Branche. Organisationen, die CVEs verstehen und effektiv nutzen, insbesondere wenn sie diese in Sicherheits-Workflows und automatisierte Scan-Prozesse integrieren, sind besser in der Lage, in einer zunehmend komplexen Bedrohungslandschaft eine starke Sicherheitsstrategie aufrechtzuerhalten.

Mehr erfahren

Exposure Management: Aktuelles aus dem Rapid7-Blog