CVE und CVSS

Jede Woche werden neue Sicherheitslücken öffentlich, weit mehr, als ein Unternehmen zeitnah schließen kann. Damit alle Beteiligten über dieselben Probleme sprechen können, gibt es zwei Standards: CVE benennt Schwachstellen eindeutig, CVSS macht ihren Schweregrad vergleichbar. Wer beide richtig einordnet, priorisiert besser und bindet weniger Ressourcen an den falschen Stellen.

Was sind CVE und CVSS?

CVE steht für Common Vulnerabilities and Exposures und ist ein öffentlicher Katalog konkreter, bekannt gewordener Schwachstellen. Jede Lücke erhält eine eindeutige Kennung nach dem Muster CVE-Jahr-Nummer, zum Beispiel CVE-2024-12345. Die Einträge vergeben autorisierte Stellen, sogenannte CNAs, koordiniert von der US-Organisation MITRE. Ein Eintrag beschreibt, welches Produkt in welchen Versionen betroffen ist, und verweist auf weiterführende Informationen des Herstellers. Damit ist eindeutig, wovon die Rede ist, wenn ein Advisory, ein Scanner oder ein Dienstleister eine Kennung nennt.

CVSS steht für Common Vulnerability Scoring System und beziffert, wie schwer eine Schwachstelle wiegt. Gepflegt wird der Standard vom internationalen Zusammenschluss FIRST. Das Ergebnis ist ein Wert zwischen 0,0 und 10,0, zur Orientierung ergänzt um die Stufen niedrig, mittel, hoch und kritisch. Kurz gesagt: CVE identifiziert eine Schwachstelle, CVSS bewertet sie.

Wie funktioniert die Bewertung mit CVSS?

Der CVSS-Wert setzt sich aus mehreren Metrikgruppen zusammen:

  • Basis-Metriken: Sie beschreiben die dauerhaften Eigenschaften einer Schwachstelle: Ist sie über das Netzwerk oder ausschließlich lokal angreifbar? Braucht der Angreifer Rechte oder eine Aktion des Nutzers? Wie stark leiden Vertraulichkeit, Integrität und Verfügbarkeit? Daraus entsteht der Basiswert, den Hersteller und Datenbanken veröffentlichen.
  • Temporal-Metriken: Sie bilden die zeitliche Entwicklung ab, etwa ob Exploit-Code öffentlich verfügbar ist und ob der Hersteller bereits einen Patch bereitstellt. In der aktuellen Version CVSS 4.0 heißt diese Gruppe Threat-Metriken.
  • Umgebungsmetriken: Sie passen die Bewertung an das eigene Unternehmen an: Wie wichtig ist das betroffene System, welche Schutzmaßnahmen existieren bereits? Erst diese Anpassung macht aus dem generischen Wert eine unternehmensspezifische Aussage.
  • Vektor-String: Die Bewertung wird als kompakte Zeichenkette dokumentiert. So bleibt nachvollziehbar, wie ein Wert zustande kam, und Teams können ihn für die eigene Umgebung neu berechnen.

In der Praxis wird meist der Basiswert zitiert. Genau darin liegt die Falle: Eine Lücke mit Wert 9,8 auf einem isolierten Testsystem kann harmloser sein als eine 7,5 auf einem aus dem Internet erreichbaren Server mit Kundendaten. Erreichbarkeit, Exponierung, Geschäftskritikalität und aktive Ausnutzung entscheiden mit. Ein gutes Schwachstellenmanagement kombiniert den CVSS-Wert deshalb mit Kontext, etwa mit Hinweisen auf aktive Ausnutzung und mit Erreichbarkeitsanalysen aus dem eigenen Netzwerk.

Warum sie wichtig sind

  • Sie schaffen eine gemeinsame Sprache zwischen Herstellern, Scannern, Dienstleistern und Behörden, ohne die eine koordinierte Reaktion kaum möglich wäre.
  • Advisories, Scanner-Funde und Patches lassen sich eindeutig einander zuordnen.
  • CVSS liefert eine erste, vergleichbare Einschätzung, wie gefährlich eine Lücke grundsätzlich ist.
  • Patch-Richtlinien und Verträge können sich auf definierte Schwellen beziehen, etwa Fristen für kritische Schwachstellen.
  • Berichte an Geschäftsführung und Auditoren werden nachvollziehbar, weil sie auf einem offenen Standard beruhen.

Typische Szenarien

  • Ein Hersteller veröffentlicht ein Advisory mit CVE-Kennung, das Team prüft über das Inventar, welche Systeme die betroffene Version einsetzen.
  • Der Schwachstellenscanner meldet nach dem Wochenlauf hunderte Funde, das Team muss entscheiden, welche zuerst behandelt werden.
  • Eine Lücke mit mittlerem Wert wird aktiv ausgenutzt und rückt deshalb vor formal kritische, aber praktisch schwer erreichbare Funde.
  • Für eine Schwachstelle existiert noch kein Patch, bis dahin schützen Übergangsmaßnahmen wie strengere Netzwerkregeln. Handelt es sich um eine zuvor unbekannte Lücke, spricht man von einem Zero-Day .
  • Die Umgebungsmetriken stufen eine Lücke auf einem streng isolierten Altsystem herab, dokumentiert und mit Begründung.

CVE vs. CWE

CVE bezeichnet eine konkrete Schwachstelle in einem konkreten Produkt, inklusive betroffener Versionen. CWE (Common Weakness Enumeration) katalogisiert dagegen abstrakte Fehlerklassen, etwa SQL-Injection oder Pufferüberläufe. Eine CWE-Klasse steht damit hinter vielen einzelnen CVE-Einträgen. Für den Betrieb zählt CVE: Welche Systeme brauchen welchen Patch? Für Entwicklung und Einkauf ist CWE interessanter: Welche Fehlerklassen tauchen in eigenen oder eingekauften Produkten wiederholt auf, und wie lassen sie sich künftig vermeiden?

Schwachstellen priorisieren und entschärfen bei KAEMI

Ein Score ersetzt keine Entscheidung. KAEMI unterstützt Unternehmen dabei, aus Bewertungen wirksame Maßnahmen zu machen. Ein zentraler Hebel ist die Erreichbarkeit: Mit Zero Trust Mikrosegmentierung sinkt die Zahl der Systeme, die eine verwundbare Komponente überhaupt erreichen können. Das entschärft viele Funde, bevor ein Patch eingespielt ist, und verbessert die Bewertung in den Umgebungsmetriken nachvollziehbar. Für exponierte Anwendungen ergänzt Application Security Schutzmechanismen, die bekannte Angriffsmuster abfangen, während das Patchfenster noch offen ist. Wenn Sie Ihre Priorisierung auf belastbare Füße stellen möchten, sprechen Sie uns über unser Kontaktformular an.

Häufige Fragen zu CVE und CVSS

Wer vergibt CVE-Kennungen und wie entsteht ein Eintrag?

CVE-Kennungen werden von autorisierten Stellen vergeben, den CVE Numbering Authorities. Dazu gehören große Softwarehersteller für ihre eigenen Produkte sowie Koordinierungsstellen aus dem CERT-Umfeld, das Gesamtsystem koordiniert die US-Organisation MITRE. Meldet ein Forscher oder Hersteller eine Lücke, reserviert die zuständige Stelle eine Kennung und veröffentlicht den Eintrag, sobald die Details abgestimmt sind.

Ab welchem CVSS-Wert gilt eine Schwachstelle als kritisch?

Nach der gängigen Einteilung gelten Werte ab 9,0 als kritisch, zwischen 7,0 und 8,9 als hoch, zwischen 4,0 und 6,9 als mittel und darunter als niedrig. Diese Stufen beziehen sich auf den Basiswert. Für die eigene Priorisierung sollte der Wert immer mit Kontext kombiniert werden: Ein hoher Score auf einem unerreichbaren System ist selten der dringendste Fall.

Reicht es, ausschließlich kritische Schwachstellen zu beheben?

Nein. Angreifer verketten häufig mehrere mittlere Lücken zu einem vollständigen Angriffspfad, und aktiv ausgenutzte Schwachstellen haben oft gar keinen kritischen Basiswert. Sinnvoll ist eine Priorisierung nach aktiver Ausnutzung und Erreichbarkeit, gewichtet mit der Geschäftsbedeutung des Systems. Kritische Funde auf exponierten Systemen kommen zuerst, danach geht es konsequent nach Risiko statt starr nach Score.

Was unterscheidet CVE von CWE?

CVE benennt eine konkrete Schwachstelle in einem bestimmten Produkt und bestimmten Versionen. CWE beschreibt abstrakte Fehlerklassen wie fehlende Eingabevalidierung, unabhängig vom Produkt. Ein Beispiel: Hinter vielen einzelnen CVE-Einträgen zu Webanwendungen steht dieselbe CWE-Klasse SQL-Injection. Betriebsteams arbeiten mit CVE für das Patchen, Entwicklungsteams nutzen CWE, um Fehlerklassen im eigenen Code systematisch zu vermeiden.

Was tun, wenn für eine Schwachstelle noch kein Patch existiert?

Bis der Hersteller liefert, zählen Übergangsmaßnahmen: die Erreichbarkeit des Systems einschränken, etwa durch Netzwerksegmentierung oder Firewall-Regeln, betroffene Funktionen deaktivieren, Zugriffe stärker authentifizieren und das System engmaschig überwachen. Bei aktiv ausgenutzten Lücken ohne Patch, sogenannten Zero-Days, kann auch die vorübergehende Trennung vom Netz die wirtschaftlichste Entscheidung sein. Nach dem Patch werden die Maßnahmen geordnet zurückgebaut.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.