Jede Woche werden neue Sicherheitslücken öffentlich, weit mehr, als ein Unternehmen zeitnah schließen kann. Damit alle Beteiligten über dieselben Probleme sprechen können, gibt es zwei Standards: CVE benennt Schwachstellen eindeutig, CVSS macht ihren Schweregrad vergleichbar. Wer beide richtig einordnet, priorisiert besser und bindet weniger Ressourcen an den falschen Stellen.
Was sind CVE und CVSS?
CVE steht für Common Vulnerabilities and Exposures und ist ein öffentlicher Katalog konkreter, bekannt gewordener Schwachstellen. Jede Lücke erhält eine eindeutige Kennung nach dem Muster CVE-Jahr-Nummer, zum Beispiel CVE-2024-12345. Die Einträge vergeben autorisierte Stellen, sogenannte CNAs, koordiniert von der US-Organisation MITRE. Ein Eintrag beschreibt, welches Produkt in welchen Versionen betroffen ist, und verweist auf weiterführende Informationen des Herstellers. Damit ist eindeutig, wovon die Rede ist, wenn ein Advisory, ein Scanner oder ein Dienstleister eine Kennung nennt.
CVSS steht für Common Vulnerability Scoring System und beziffert, wie schwer eine Schwachstelle wiegt. Gepflegt wird der Standard vom internationalen Zusammenschluss FIRST. Das Ergebnis ist ein Wert zwischen 0,0 und 10,0, zur Orientierung ergänzt um die Stufen niedrig, mittel, hoch und kritisch. Kurz gesagt: CVE identifiziert eine Schwachstelle, CVSS bewertet sie.
Wie funktioniert die Bewertung mit CVSS?
Der CVSS-Wert setzt sich aus mehreren Metrikgruppen zusammen:
- Basis-Metriken: Sie beschreiben die dauerhaften Eigenschaften einer Schwachstelle: Ist sie über das Netzwerk oder ausschließlich lokal angreifbar? Braucht der Angreifer Rechte oder eine Aktion des Nutzers? Wie stark leiden Vertraulichkeit, Integrität und Verfügbarkeit? Daraus entsteht der Basiswert, den Hersteller und Datenbanken veröffentlichen.
- Temporal-Metriken: Sie bilden die zeitliche Entwicklung ab, etwa ob Exploit-Code öffentlich verfügbar ist und ob der Hersteller bereits einen Patch bereitstellt. In der aktuellen Version CVSS 4.0 heißt diese Gruppe Threat-Metriken.
- Umgebungsmetriken: Sie passen die Bewertung an das eigene Unternehmen an: Wie wichtig ist das betroffene System, welche Schutzmaßnahmen existieren bereits? Erst diese Anpassung macht aus dem generischen Wert eine unternehmensspezifische Aussage.
- Vektor-String: Die Bewertung wird als kompakte Zeichenkette dokumentiert. So bleibt nachvollziehbar, wie ein Wert zustande kam, und Teams können ihn für die eigene Umgebung neu berechnen.
In der Praxis wird meist der Basiswert zitiert. Genau darin liegt die Falle: Eine Lücke mit Wert 9,8 auf einem isolierten Testsystem kann harmloser sein als eine 7,5 auf einem aus dem Internet erreichbaren Server mit Kundendaten. Erreichbarkeit, Exponierung, Geschäftskritikalität und aktive Ausnutzung entscheiden mit. Ein gutes Schwachstellenmanagement kombiniert den CVSS-Wert deshalb mit Kontext, etwa mit Hinweisen auf aktive Ausnutzung und mit Erreichbarkeitsanalysen aus dem eigenen Netzwerk.
Warum sie wichtig sind
- Sie schaffen eine gemeinsame Sprache zwischen Herstellern, Scannern, Dienstleistern und Behörden, ohne die eine koordinierte Reaktion kaum möglich wäre.
- Advisories, Scanner-Funde und Patches lassen sich eindeutig einander zuordnen.
- CVSS liefert eine erste, vergleichbare Einschätzung, wie gefährlich eine Lücke grundsätzlich ist.
- Patch-Richtlinien und Verträge können sich auf definierte Schwellen beziehen, etwa Fristen für kritische Schwachstellen.
- Berichte an Geschäftsführung und Auditoren werden nachvollziehbar, weil sie auf einem offenen Standard beruhen.
Typische Szenarien
- Ein Hersteller veröffentlicht ein Advisory mit CVE-Kennung, das Team prüft über das Inventar, welche Systeme die betroffene Version einsetzen.
- Der Schwachstellenscanner meldet nach dem Wochenlauf hunderte Funde, das Team muss entscheiden, welche zuerst behandelt werden.
- Eine Lücke mit mittlerem Wert wird aktiv ausgenutzt und rückt deshalb vor formal kritische, aber praktisch schwer erreichbare Funde.
- Für eine Schwachstelle existiert noch kein Patch, bis dahin schützen Übergangsmaßnahmen wie strengere Netzwerkregeln. Handelt es sich um eine zuvor unbekannte Lücke, spricht man von einem Zero-Day .
- Die Umgebungsmetriken stufen eine Lücke auf einem streng isolierten Altsystem herab, dokumentiert und mit Begründung.
CVE vs. CWE
CVE bezeichnet eine konkrete Schwachstelle in einem konkreten Produkt, inklusive betroffener Versionen. CWE (Common Weakness Enumeration) katalogisiert dagegen abstrakte Fehlerklassen, etwa SQL-Injection oder Pufferüberläufe. Eine CWE-Klasse steht damit hinter vielen einzelnen CVE-Einträgen. Für den Betrieb zählt CVE: Welche Systeme brauchen welchen Patch? Für Entwicklung und Einkauf ist CWE interessanter: Welche Fehlerklassen tauchen in eigenen oder eingekauften Produkten wiederholt auf, und wie lassen sie sich künftig vermeiden?
Schwachstellen priorisieren und entschärfen bei KAEMI
Ein Score ersetzt keine Entscheidung. KAEMI unterstützt Unternehmen dabei, aus Bewertungen wirksame Maßnahmen zu machen. Ein zentraler Hebel ist die Erreichbarkeit: Mit Zero Trust Mikrosegmentierung sinkt die Zahl der Systeme, die eine verwundbare Komponente überhaupt erreichen können. Das entschärft viele Funde, bevor ein Patch eingespielt ist, und verbessert die Bewertung in den Umgebungsmetriken nachvollziehbar. Für exponierte Anwendungen ergänzt Application Security Schutzmechanismen, die bekannte Angriffsmuster abfangen, während das Patchfenster noch offen ist. Wenn Sie Ihre Priorisierung auf belastbare Füße stellen möchten, sprechen Sie uns über unser Kontaktformular an.