FAQ

Nein, CVEs betreffen nicht nur Software. Sie können auch Schwachstellen in Hardware, Firmware, IoT-Komponenten, Betriebssystemen oder sogar bestimmten gefährlichen Standardkonfigurationen abdecken. Beispielsweise können auch Fehler in Routern, Prozessoren oder Industrieanlagen CVE-Kennungen erhalten.

Diese breite Abdeckung ermöglicht die Berücksichtigung der verschiedenen Angriffsvektoren in einem modernen Informationssystem. Entscheidend ist, dass die Schwachstelle dokumentiert, bestätigt und öffentlich gemeldet wird, um in das CVE-Programm aufgenommen zu werden. So können Sicherheitsteams die Risiken für die gesamte Infrastruktur bewerten.

Nein, EPSS ersetzt CVSS nicht: Die beiden Systeme sind komplementär. CVSS bietet eine strukturelle Messung des Schweregrads, die nützlich ist, um die potenziellen Auswirkungen einer Schwachstelle zu verstehen. EPSS hingegen bietet eine Verhaltens- und Vorhersagemessung, die sich auf die Wahrscheinlichkeit einer tatsächlichen Ausnutzung konzentriert.

Zusammen ermöglichen diese beiden Scores eine genauere Risikobewertung, sowohl theoretisch als auch operativ. Viele Unternehmen verfolgen einen hybriden Ansatz, indem sie beispielsweise nur Schwachstellen mit einem CVSS ≥ 7 und einem EPSS ≥ 0,5 behandeln oder Risikomatrizen verwenden, die mit diesen beiden Indikatoren angereichert sind.

Nein, die Existenz einer CVE garantiert nicht, dass ein Patch verfügbar ist. Eine CVE kann veröffentlicht werden, bevor ein Hersteller einen Patch entwickelt hat, oder sogar in Fällen, in denen kein Patch geplant ist (z. B. für veraltete oder nicht mehr gewartete Software). In diesen Situationen müssen Benutzer Workarounds implementieren oder bestimmte anfällige Funktionen deaktivieren.

Es ist daher wichtig, nicht nur die CVEs zu konsultieren, sondern auch die Empfehlungen der Hersteller und Datenbanken wie die NVD oder die KEV-Datenbank zu prüfen, die angeben können, ob ein Patch existiert und in welchen Zeiträumen er erwartet wird. Ein gutes Risikomanagement berücksichtigt sowohl die Schwere des Fehlers als auch die Verfügbarkeit von Lösungen.

Ja, es gibt einen offiziellen CVSS-Score-Rechner, der vom FIRST Standards Forum angeboten wird, das den CVSS-Standard pflegt. Er ist online unter folgender Adresse zugänglich: https://www.first.org/cvss/calculator.

Dieser Rechner ermöglicht es, einen Vektor durch Auswahl der relevanten Metriken zusammenzustellen und dann automatisch die Scores (Base, Temporal, Environmental) zu berechnen.

Ja, immer mehr Organisationen nutzen den EPSS als vorrangiges Kriterium, um zu entscheiden, welche Schwachstellen zuerst behoben werden sollen, insbesondere wenn sie mit einer großen Anzahl von zu behebenden Fehlern konfrontiert sind. Das Beheben aller CVEs mit einem hohen CVSS-Score kann kostspielig und ineffizient sein, insbesondere wenn einige nie ausgenutzt werden. Der EPSS ermöglicht es daher, die Ressourcen auf die wirklich gefährlichen Fehler zu konzentrieren.

Einige Sicherheitsrichtlinien beinhalten inzwischen Aktionsschwellenwerte, die auf dem EPSS basieren, z. B.: „Beheben Sie jede Schwachstelle mit einem EPSS-Score > 0,7 innerhalb von 48 Stunden“. Dieser pragmatische Ansatz ermöglicht es, die Behebung dort zu beschleunigen, wo sie am nützlichsten ist, und gleichzeitig ungerechtfertigte Unterbrechungen zu begrenzen.

Ja, ein CVSS-Score kann sich im Laufe der Zeit ändern, insbesondere wenn neue Informationen auftauchen. Beispielsweise können ein öffentlicher Exploit, eine Umgehung eines Patches oder ein Nachweis einer aktiven Ausnutzung Analysten dazu veranlassen, den zeitlichen Score oder sogar den Basisvektor zu überarbeiten, wenn ein anfänglicher Bewertungsfehler festgestellt wird.

Darüber hinaus aktualisieren automatisierte Tools wie die des NVD die CVSS-Scores regelmäßig anhand von Felddaten und Veröffentlichungen. Es wird Unternehmen daher empfohlen, ihre Analysen regelmäßig zu überprüfen, insbesondere bei kritischen Schwachstellen.

Zero-Day-Schwachstellen sind besonders gefährlich, weil sie den Herstellern, den Benutzern und oft auch den herkömmlichen Sicherheitslösungen (Antivirus, IDS usw.) unbekannt sind. Das bedeutet, dass es zum Zeitpunkt des Angriffs keinen Fix, keinen Patch und oft auch keinen Mechanismus zur Erkennung oder zum Schutz gibt.

Angreifer können sie daher unentdeckt ausnutzen, oft im Rahmen gezielter und ausgefeilter Angriffe (Cyberespionage, Sabotage, längerfristiger Zugriff auf ein System). Ihr Wert ist so hoch, dass einige Zero-Days im Dark Web oder an staatliche Akteure für Hunderttausende von Euro verkauft werden.

Der CVSS-Score misst die intrinsische Schwere einer Schwachstelle, aber nicht ihre tatsächliche Ausnutzung oder ihre Relevanz in einer bestimmten Umgebung. Beispielsweise kann eine Schwachstelle einen hohen Score aufweisen, aber in Ihrer Infrastruktur kaum ausnutzbar sein, oder umgekehrt kann eine durchschnittliche Schwachstelle ein kritisches, nicht segmentiertes System angreifen.

Für eine genauere Risikobewertung ist es wichtig, zusätzliche Indikatoren zu integrieren, wie z. B.:

• Der EPSS-Score (Wahrscheinlichkeit der tatsächlichen Ausnutzung)
• Die Zugehörigkeit zur KEV-Liste (bestätigte Ausnutzung)
• Der geschäftliche oder technische Kontext der betroffenen Umgebung

Somit sollte der CVSS als ein Indikator für die Schwere betrachtet werden, und nicht als eine vollständige Messung des Risikos.

CVEs spielen eine zentrale Rolle im Vulnerability Management. Sie bieten eine gemeinsame Sprache für alle Akteure der Cybersicherheit, um Schwachstellen zu verfolgen und zu dokumentieren. Dies ermöglicht es, Korrekturen zu priorisieren, Analysen zu automatisieren und die Sicherheitsüberwachung zu strukturieren. Ohne CVEs könnte jeder Herausgeber oder Forscher eine Schwachstelle anders beschreiben, was die Koordination erschweren würde.

Sie werden auch von Tools für Schwachstellenscans, SIEMs, SOCs und CISOs verwendet, um Richtlinien für die Reaktion auf Vorfälle zu erstellen. Ihre weltweite Akzeptanz stellt sicher, dass Schwachstellen identifizierbar sind und dass Abwehrmaßnahmen schneller und koordinierter aktiviert werden können.

Die von der CISA veröffentlichte KEV-Liste (Known Exploited Vulnerabilities) listet aktiv ausgenutzte Schwachstellen auf, d. h. solche, die bereits in realen Cyberangriffen eingesetzt werden. Ziel dieser Liste ist es, Organisationen bei der Priorisierung ihrer Korrekturmaßnahmen zu unterstützen, indem sie sich auf die Schwachstellen konzentrieren, die eine unmittelbare Bedrohung darstellen.

Mit der Veröffentlichung dieser Liste stellt die CISA ein sehr konkretes Instrument für das Risikomanagement zur Verfügung: Sie weist nicht nur auf bekannte Schwachstellen hin, sondern auch auf die kritischsten und dringendsten. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb strenger Fristen obligatorisch. Aber über die USA hinaus wird die KEV-Liste von Cybersicherheitsexperten auf der ganzen Welt konsultiert, um ihre Patch-Management-Strategie auszurichten.

CAPEC steht für Common Attack Pattern Enumeration and Classification. Es handelt sich um eine strukturierte Wissensdatenbank, die von MITRE entwickelt wurde und bekannte Angriffsmuster auflistet und beschreibt, die gegen Computersysteme eingesetzt werden. Im Gegensatz zu einzelnen Vorfällen beschreiben CAPECs wiederverwendbare Strategien, mit denen Angreifer Schwachstellen ausnutzen können.

Jedes CAPEC-Muster ist eine abstrakte Darstellung eines bösartigen Verhaltens: Es erklärt, wie ein Angriff durchgeführt wird, welche Art von Schwäche er anvisiert und zu welchem Zweck. Das Ziel von CAPEC ist es, Sicherheitsexperten dabei zu helfen, die von Angreifern verwendeten Taktiken besser zu verstehen, zu erkennen und vorherzusehen.

EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.

Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.

CVSS ist in drei Sub-Scores unterteilt:

• Basis-Score: bewertet die intrinsische Schwere der Schwachstelle, unabhängig von jeglichem Kontext. Er ist in der Regel öffentlich.
• Temporal-Score: passt die Bewertung basierend auf Faktoren wie der Verfügbarkeit eines Exploits oder eines Patches an. Er spiegelt die Reife der Bedrohung wider.
• Umgebungs-Score: ermöglicht es Organisationen, die Bewertung an ihren eigenen Kontext anzupassen (Bedeutung des Assets, Exposition, geschäftliche Auswirkungen). Er ist auf jedes Unternehmen zugeschnitten.

Durch die Kombination dieser drei Ebenen wird das CVSS-Modell zu einem flexibleren Werkzeug, mit dem die Behandlungs-Prioritäten entsprechend der Realität vor Ort verfeinert werden können.

CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).

Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.

Eine CVE (Common Vulnerabilities and Exposures) ist eine Sicherheitslücke, die bereits identifiziert, dokumentiert und in einer offiziellen Datenbank veröffentlicht wurde. Sie ist der Öffentlichkeit bekannt und in der Regel sind Patches in Arbeit oder bereits verfügbar. Im Gegensatz dazu ist eine Zero-Day-Schwachstelle eine noch nicht offengelegte Schwachstelle, die zum Zeitpunkt ihrer Entdeckung noch nicht in einer CVE registriert ist.

Mit anderen Worten: Jede Zero-Day-Schwachstelle kann zu einer CVE werden, aber nicht jede CVE ist eine Zero-Day-Schwachstelle. Das größte Risiko einer Zero-Day-Schwachstelle besteht darin, dass sie ausgenutzt werden kann, bevor sie überhaupt gemeldet wird, während eine CVE per Definition eine Schwachstelle ist, die sich in der Bearbeitungs- oder Korrekturphase befindet.