CVE
Common Vulnerabilities and Exposures - ein öffentliches Verzeichnis bekannter Sicherheitslücken in Software und Hardware, identifiziert durch eine eindeutige CVE-ID.
CVE (Common Vulnerabilities and Exposures) ist ein standardisiertes Verzeichnis öffentlich bekannter Informationssicherheitsschwachstellen, betrieben von MITRE Corporation und finanziert durch das US Department of Homeland Security.
CVE-ID Format
Jede Schwachstelle erhält eine eindeutige Kennung im Format CVE-[Jahr]-[Nummer]:
CVE-2021-44228- Log4Shell (kritische Schwachstelle in Apache Log4j)CVE-2017-0144- EternalBlue (von WannaCry ausgenutzt)CVE-2023-44487- HTTP/2 Rapid Reset (DoS-Schwachstelle)
CNA und NVD
CVE Numbering Authorities (CNA): Über 300 Organisationen weltweit (darunter Microsoft, Google, Red Hat, BSI) dürfen CVE-IDs vergeben. Jeder Hersteller ist für seine eigenen Produkte zuständig.
National Vulnerability Database (NVD): NIST reichert CVE-Einträge mit CVSS-Scores, CWE-Klassifizierungen und CPE-Informationen an. Die NVD ist die Primärquelle für automatisiertes Vulnerability Management.
Bedeutung für Unternehmen
Ein funktionierendes Patch-Management basiert auf CVE-Tracking:
- CVE-Feed abonnieren (NVD, Hersteller-Advisories, BSI-Warnungen)
- Betroffene Assets identifizieren (Asset-Inventar + CMDB)
- CVSS-Score und Ausnutzbarkeit bewerten
- Patch-Deployment nach Priorisierung
- Verifizierung der Behebung
Das BSI betreibt mit dem CERT-Bund einen eigenen Warndienst für kritische CVEs mit Bezug zu Deutschland.
