FAQ

Nein, CVEs betreffen nicht nur Software. Sie können auch Schwachstellen in Hardware, Firmware, IoT-Komponenten, Betriebssystemen oder sogar bestimmten gefährlichen Standardkonfigurationen abdecken. Beispielsweise können auch Fehler in Routern, Prozessoren oder Industrieanlagen CVE-Kennungen erhalten.

Diese breite Abdeckung ermöglicht die Berücksichtigung der verschiedenen Angriffsvektoren in einem modernen Informationssystem. Entscheidend ist, dass die Schwachstelle dokumentiert, bestätigt und öffentlich gemeldet wird, um in das CVE-Programm aufgenommen zu werden. So können Sicherheitsteams die Risiken für die gesamte Infrastruktur bewerten.

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.

Um festzustellen, ob eine CVE aktiv ausgenutzt wird, können verschiedene Informationsquellen konsultiert werden. Die zuverlässigste ist die KEV-Datenbank (Known Exploited Vulnerabilities), die von der CISA gepflegt wird und CVEs auflistet, deren Ausnutzung in freier Wildbahn bestätigt wurde. Sie wird regelmäßig aktualisiert und häufig verwendet, um Korrekturprioritäten festzulegen. Diese Informationen sind direkt auf unserer Website CVE Find zugänglich.

Man kann sich auch auf den EPSS-Score stützen, der die Wahrscheinlichkeit der Ausnutzung einer CVE innerhalb von 30 Tagen nach ihrer Veröffentlichung auf der Grundlage von realen Daten schätzt. Schließlich können auch Threat-Intelligence-Tools, CERT-Berichte oder Sicherheitsbulletins von Herstellern darauf hinweisen, ob eine Schwachstelle derzeit von Angreifern ausgenutzt wird.

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.