FAQ

Nein, CVEs betreffen nicht nur Software. Sie können auch Schwachstellen in Hardware, Firmware, IoT-Komponenten, Betriebssystemen oder sogar bestimmten gefährlichen Standardkonfigurationen abdecken. Beispielsweise können auch Fehler in Routern, Prozessoren oder Industrieanlagen CVE-Kennungen erhalten.

Diese breite Abdeckung ermöglicht die Berücksichtigung der verschiedenen Angriffsvektoren in einem modernen Informationssystem. Entscheidend ist, dass die Schwachstelle dokumentiert, bestätigt und öffentlich gemeldet wird, um in das CVE-Programm aufgenommen zu werden. So können Sicherheitsteams die Risiken für die gesamte Infrastruktur bewerten.

Nein, die Existenz einer CVE garantiert nicht, dass ein Patch verfügbar ist. Eine CVE kann veröffentlicht werden, bevor ein Hersteller einen Patch entwickelt hat, oder sogar in Fällen, in denen kein Patch geplant ist (z. B. für veraltete oder nicht mehr gewartete Software). In diesen Situationen müssen Benutzer Workarounds implementieren oder bestimmte anfällige Funktionen deaktivieren.

Es ist daher wichtig, nicht nur die CVEs zu konsultieren, sondern auch die Empfehlungen der Hersteller und Datenbanken wie die NVD oder die KEV-Datenbank zu prüfen, die angeben können, ob ein Patch existiert und in welchen Zeiträumen er erwartet wird. Ein gutes Risikomanagement berücksichtigt sowohl die Schwere des Fehlers als auch die Verfügbarkeit von Lösungen.

Ja, es gibt einen offiziellen CVSS-Score-Rechner, der vom FIRST Standards Forum angeboten wird, das den CVSS-Standard pflegt. Er ist online unter folgender Adresse zugänglich: https://www.first.org/cvss/calculator.

Dieser Rechner ermöglicht es, einen Vektor durch Auswahl der relevanten Metriken zusammenzustellen und dann automatisch die Scores (Base, Temporal, Environmental) zu berechnen.

Ja, ein CVSS-Score kann sich im Laufe der Zeit ändern, insbesondere wenn neue Informationen auftauchen. Beispielsweise können ein öffentlicher Exploit, eine Umgehung eines Patches oder ein Nachweis einer aktiven Ausnutzung Analysten dazu veranlassen, den zeitlichen Score oder sogar den Basisvektor zu überarbeiten, wenn ein anfänglicher Bewertungsfehler festgestellt wird.

Darüber hinaus aktualisieren automatisierte Tools wie die des NVD die CVSS-Scores regelmäßig anhand von Felddaten und Veröffentlichungen. Es wird Unternehmen daher empfohlen, ihre Analysen regelmäßig zu überprüfen, insbesondere bei kritischen Schwachstellen.

Der CVSS-Score misst die intrinsische Schwere einer Schwachstelle, aber nicht ihre tatsächliche Ausnutzung oder ihre Relevanz in einer bestimmten Umgebung. Beispielsweise kann eine Schwachstelle einen hohen Score aufweisen, aber in Ihrer Infrastruktur kaum ausnutzbar sein, oder umgekehrt kann eine durchschnittliche Schwachstelle ein kritisches, nicht segmentiertes System angreifen.

Für eine genauere Risikobewertung ist es wichtig, zusätzliche Indikatoren zu integrieren, wie z. B.:

• Der EPSS-Score (Wahrscheinlichkeit der tatsächlichen Ausnutzung)
• Die Zugehörigkeit zur KEV-Liste (bestätigte Ausnutzung)
• Der geschäftliche oder technische Kontext der betroffenen Umgebung

Somit sollte der CVSS als ein Indikator für die Schwere betrachtet werden, und nicht als eine vollständige Messung des Risikos.

CVEs spielen eine zentrale Rolle im Vulnerability Management. Sie bieten eine gemeinsame Sprache für alle Akteure der Cybersicherheit, um Schwachstellen zu verfolgen und zu dokumentieren. Dies ermöglicht es, Korrekturen zu priorisieren, Analysen zu automatisieren und die Sicherheitsüberwachung zu strukturieren. Ohne CVEs könnte jeder Herausgeber oder Forscher eine Schwachstelle anders beschreiben, was die Koordination erschweren würde.

Sie werden auch von Tools für Schwachstellenscans, SIEMs, SOCs und CISOs verwendet, um Richtlinien für die Reaktion auf Vorfälle zu erstellen. Ihre weltweite Akzeptanz stellt sicher, dass Schwachstellen identifizierbar sind und dass Abwehrmaßnahmen schneller und koordinierter aktiviert werden können.

CVSS ist in drei Sub-Scores unterteilt:

• Basis-Score: bewertet die intrinsische Schwere der Schwachstelle, unabhängig von jeglichem Kontext. Er ist in der Regel öffentlich.
• Temporal-Score: passt die Bewertung basierend auf Faktoren wie der Verfügbarkeit eines Exploits oder eines Patches an. Er spiegelt die Reife der Bedrohung wider.
• Umgebungs-Score: ermöglicht es Organisationen, die Bewertung an ihren eigenen Kontext anzupassen (Bedeutung des Assets, Exposition, geschäftliche Auswirkungen). Er ist auf jedes Unternehmen zugeschnitten.

Durch die Kombination dieser drei Ebenen wird das CVSS-Modell zu einem flexibleren Werkzeug, mit dem die Behandlungs-Prioritäten entsprechend der Realität vor Ort verfeinert werden können.

Eine CVE (Common Vulnerabilities and Exposures) ist eine Sicherheitslücke, die bereits identifiziert, dokumentiert und in einer offiziellen Datenbank veröffentlicht wurde. Sie ist der Öffentlichkeit bekannt und in der Regel sind Patches in Arbeit oder bereits verfügbar. Im Gegensatz dazu ist eine Zero-Day-Schwachstelle eine noch nicht offengelegte Schwachstelle, die zum Zeitpunkt ihrer Entdeckung noch nicht in einer CVE registriert ist.

Mit anderen Worten: Jede Zero-Day-Schwachstelle kann zu einer CVE werden, aber nicht jede CVE ist eine Zero-Day-Schwachstelle. Das größte Risiko einer Zero-Day-Schwachstelle besteht darin, dass sie ausgenutzt werden kann, bevor sie überhaupt gemeldet wird, während eine CVE per Definition eine Schwachstelle ist, die sich in der Bearbeitungs- oder Korrekturphase befindet.

Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.

Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.

Eine CVE (Common Vulnerabilities and Exposures) ist eine eindeutige Kennung, die einer bekannten Schwachstelle in einem Computersystem, einer Software oder Hardware zugewiesen wird. Sie dient dazu, eine Schwachstelle präzise zu benennen und zu verfolgen, auch wenn sie von verschiedenen Anbietern, Tools oder Datenbanken behandelt wird. Jede CVE folgt dem Format CVE-Jahr-Nummer, wie beispielsweise CVE-2023-12345.

Der Zweck von CVEs ist die Vereinheitlichung der Kommunikation über Sicherheitslücken: Anstatt variable Beschreibungen zu verwenden, können sich alle Beteiligten auf dieselbe Kennung beziehen. Dies erleichtert die Koordination zwischen Forschern, Softwareherstellern, Sicherheitsteams und Anbietern von Sicherheitslösungen.

Der CVSS-Score (Common Vulnerability Scoring System) misst den Schweregrad einer Schwachstelle, indem er ihr eine Punktzahl von 0 bis 10 zuweist, wobei 10 eine extrem kritische Schwachstelle darstellt. Er wurde entwickelt, um eine standardisierte und objektive Bewertung von Schwachstellen zu ermöglichen, damit Organisationen diese miteinander vergleichen und ihre Behebung priorisieren können.

Dieser Score berücksichtigt verschiedene Aspekte: die einfache Ausnutzbarkeit, die potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie die für den Angriff erforderlichen Bedingungen. Zusammenfassend lässt sich sagen, dass der CVSS hilft, das inhärente Gefahrenpotenzial einer Sicherheitslücke zu quantifizieren.

Die CVSS-Skala reicht von 0.0 bis 10.0, wobei jeder Wertebereich einem Schweregrad zugeordnet ist:

• 0.0: Keine Gefährdung
• 0.1 bis 3.9: Gering (Low)
• 4.0 bis 6.9: Mittel (Medium)
• 7.0 bis 8.9: Hoch (High)
• 9.0 bis 10.0: Kritisch (Critical)

Diese Klassifizierung ermöglicht es Unternehmen, Schwachstellen nach Schweregrad zu filtern, berücksichtigt jedoch nicht den spezifischen Kontext jedes Unternehmens. Aus diesem Grund müssen andere Kriterien wie aktive Ausnutzung oder betroffene Assets diese Bewertung ergänzen.

Der CVSS-Score wird in der Regel von der Organisation festgelegt, die die Schwachstelle veröffentlicht, häufig eine CNA (CVE Numbering Authority) oder der Hersteller der betroffenen Software. Ergänzend dazu berechnen oder passen Einrichtungen wie die NVD (National Vulnerability Database) die Scores manchmal neu an, um eine Kohärenz zwischen den veröffentlichten CVEs zu gewährleisten.

Automatisierte Tools ermöglichen es auch unabhängigen Forschern, SOC-Analysten oder Sicherheitsanbietern, einen Score auf der Grundlage des veröffentlichten CVSS-Vektors neu zu berechnen. Dies bedeutet, dass eine einzelne CVE je nach Kontext und Bewerter mehrere leicht unterschiedliche Scores haben kann, was dazu führt, dass für kritische Entscheidungen verschiedene Quellen miteinander verglichen werden müssen.

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.

Um festzustellen, ob eine CVE aktiv ausgenutzt wird, können verschiedene Informationsquellen konsultiert werden. Die zuverlässigste ist die KEV-Datenbank (Known Exploited Vulnerabilities), die von der CISA gepflegt wird und CVEs auflistet, deren Ausnutzung in freier Wildbahn bestätigt wurde. Sie wird regelmäßig aktualisiert und häufig verwendet, um Korrekturprioritäten festzulegen. Diese Informationen sind direkt auf unserer Website CVE Find zugänglich.

Man kann sich auch auf den EPSS-Score stützen, der die Wahrscheinlichkeit der Ausnutzung einer CVE innerhalb von 30 Tagen nach ihrer Veröffentlichung auf der Grundlage von realen Daten schätzt. Schließlich können auch Threat-Intelligence-Tools, CERT-Berichte oder Sicherheitsbulletins von Herstellern darauf hinweisen, ob eine Schwachstelle derzeit von Angreifern ausgenutzt wird.