FAQ

Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.

Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.

Die CISA (Cybersecurity and Infrastructure Security Agency) ist eine US-amerikanische Regierungsbehörde. Sie ist für den Schutz kritischer Infrastrukturen der Vereinigten Staaten vor Cyber- und physischen Bedrohungen zuständig, indem sie Behörden, Unternehmen und der Öffentlichkeit Unterstützung, Tools und Empfehlungen bietet.

Im Bereich der Cybersecurity fungiert die CISA als Koordinierungsstelle, um Cyberangriffe zu verhindern, auf Vorfälle zu reagieren, Informationen über Bedrohungen auszutauschen und Best Practices für die Sicherheit zu fördern. Obwohl sie eine amerikanische Behörde ist, beeinflussen ihre Rolle und ihre Ressourcen die Cybersecurity-Praktiken weltweit aufgrund ihrer Transparenz und Führungsrolle.

Die offizielle Quelle der CAPEC-Datenbank ist die Website von MITRE. Dieses Portal ermöglicht es, alle Muster nach Angriffsart, Komplexität, Ziel oder auch nach Grad der Raffinesse zu durchsuchen. Jedes Datenblatt enthält präzise Definitionen, Beispiele und Links zu anderen nützlichen Ressourcen (CWE, ATT&CK usw.).

Das CWE Top 25 ist eine jährliche Liste der 25 gefährlichsten Schwachstellen in Bezug auf Softwaresicherheit. Sie wird von MITRE auf der Grundlage öffentlicher Daten aus der NVD (National Vulnerability Database) und anderen Quellen erstellt, wobei die Häufigkeit und die Auswirkungen von Schwachstellen analysiert werden, die mit realen CVEs verbunden sind.

Dieses Ranking ist für Entwickler und Sicherheitsteams von großem Wert, da es die häufigsten und kritischsten Fehler wie Injections, Buffer Overflows oder Authentifizierungsprobleme aufzeigt. Durch die Konzentration auf diese prioritären Schwachstellen können Unternehmen ihre Sicherheitslage auch mit begrenzten Ressourcen schnell verbessern.

Eine CVE (Common Vulnerabilities and Exposures) ist eine eindeutige Kennung, die einer bekannten Schwachstelle in einem Computersystem, einer Software oder Hardware zugewiesen wird. Sie dient dazu, eine Schwachstelle präzise zu benennen und zu verfolgen, auch wenn sie von verschiedenen Anbietern, Tools oder Datenbanken behandelt wird. Jede CVE folgt dem Format CVE-Jahr-Nummer, wie beispielsweise CVE-2023-12345.

Der Zweck von CVEs ist die Vereinheitlichung der Kommunikation über Sicherheitslücken: Anstatt variable Beschreibungen zu verwenden, können sich alle Beteiligten auf dieselbe Kennung beziehen. Dies erleichtert die Koordination zwischen Forschern, Softwareherstellern, Sicherheitsteams und Anbietern von Sicherheitslösungen.

Eine CWE (Common Weakness Enumeration) ist eine standardisierte Klassifizierung von Schwachstellen, die zu Anfälligkeiten in Software, Firmware oder Systemen führen können. Im Gegensatz zu CVEs, die spezifische und dokumentierte Schwachstellen in einem bestimmten Produkt bezeichnen, beschreiben CWEs Arten von Design- oder Programmierfehlern, die die Sicherheit eines Systems beeinträchtigen können.

Beispielsweise kann eine CWE eine fehlerhafte Speicherverwaltung, eine Befehlsinjektion oder eine unzureichende Validierung von Eingaben beschreiben. Diese Schwachstellen können dann in verschiedenen Softwareprodukten erkannt und mit einzelnen CVEs verknüpft werden, wenn sie in einem realen Kontext ausgenutzt werden.

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, die dem Hersteller oder Herausgeber einer Software, Hardware oder eines Systems unbekannt ist. Sie wird als «Zero-Day» bezeichnet, weil der Herausgeber null Tage Zeit hatte, die Schwachstelle zu beheben, als sie entdeckt oder ausgenutzt wurde. Es gibt daher noch keinen offiziellen Patch oder eine öffentliche Meldung.

Diese Schwachstellen können monate- oder sogar jahrelang unentdeckt bleiben. Wenn sie von Cyberkriminellen oder staatlichen Gruppen gefunden werden, können sie diskret ausgenutzt werden, was ihre potenziellen Auswirkungen sehr gravierend macht.

Der CVSS-Score (Common Vulnerability Scoring System) misst den Schweregrad einer Schwachstelle, indem er ihr eine Punktzahl von 0 bis 10 zuweist, wobei 10 eine extrem kritische Schwachstelle darstellt. Er wurde entwickelt, um eine standardisierte und objektive Bewertung von Schwachstellen zu ermöglichen, damit Organisationen diese miteinander vergleichen und ihre Behebung priorisieren können.

Dieser Score berücksichtigt verschiedene Aspekte: die einfache Ausnutzbarkeit, die potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie die für den Angriff erforderlichen Bedingungen. Zusammenfassend lässt sich sagen, dass der CVSS hilft, das inhärente Gefahrenpotenzial einer Sicherheitslücke zu quantifizieren.

Die CISA spielt eine zentrale Rolle bei der Verwaltung von Schwachstellen in großem Umfang. Sie identifiziert, bewertet und kommuniziert aktiv über Sicherheitslücken, die kritische Infrastrukturen beeinträchtigen könnten, insbesondere Regierungsdienste, Betreiber wesentlicher Dienste und große Unternehmen. Sie arbeitet häufig mit MITRE, Herstellern, Sicherheitsforschern und anderen internationalen Behörden zusammen.

Zu ihren Aufgaben gehören die Veröffentlichung von Sicherheitsbulletins, die Koordinierung von Reaktionen auf bestimmte schwerwiegende Schwachstellen und die gelegentliche Auferlegung obligatorischer Korrekturfristen für bestimmte Schwachstellen in öffentlichen Einrichtungen durch Bundesrichtlinien (BODs). Ihr Ziel ist es, die Zeit zwischen der Entdeckung einer Schwachstelle und ihrer tatsächlichen Behebung vor Ort zu verkürzen.

Die CVSS-Skala reicht von 0.0 bis 10.0, wobei jeder Wertebereich einem Schweregrad zugeordnet ist:

• 0.0: Keine Gefährdung
• 0.1 bis 3.9: Gering (Low)
• 4.0 bis 6.9: Mittel (Medium)
• 7.0 bis 8.9: Hoch (High)
• 9.0 bis 10.0: Kritisch (Critical)

Diese Klassifizierung ermöglicht es Unternehmen, Schwachstellen nach Schweregrad zu filtern, berücksichtigt jedoch nicht den spezifischen Kontext jedes Unternehmens. Aus diesem Grund müssen andere Kriterien wie aktive Ausnutzung oder betroffene Assets diese Bewertung ergänzen.

Das EPSS-Modell wird von der FIRST-Community (Forum of Incident Response and Security Teams) in Zusammenarbeit mit Forschern, Datenanalysten und Cybersicherheitsexperten entwickelt und gepflegt. Es handelt sich um ein offenes und kollaboratives Projekt, dessen Methoden öffentlich dokumentiert und dessen Ergebnisse regelmäßig aktualisiert werden.

Dieses Modell basiert auf massiven statistischen Daten und Techniken des maschinellen Lernens. Es ist transparent, reproduzierbar und kostenlos zugänglich konzipiert, was es zu einem zuverlässigen Werkzeug macht, das auf die operativen Bedürfnisse von Sicherheitsteams zugeschnitten ist, auch außerhalb des amerikanischen oder staatlichen Bereichs.

Der CVSS-Score wird in der Regel von der Organisation festgelegt, die die Schwachstelle veröffentlicht, häufig eine CNA (CVE Numbering Authority) oder der Hersteller der betroffenen Software. Ergänzend dazu berechnen oder passen Einrichtungen wie die NVD (National Vulnerability Database) die Scores manchmal neu an, um eine Kohärenz zwischen den veröffentlichten CVEs zu gewährleisten.

Automatisierte Tools ermöglichen es auch unabhängigen Forschern, SOC-Analysten oder Sicherheitsanbietern, einen Score auf der Grundlage des veröffentlichten CVSS-Vektors neu zu berechnen. Dies bedeutet, dass eine einzelne CVE je nach Kontext und Bewerter mehrere leicht unterschiedliche Scores haben kann, was dazu führt, dass für kritische Entscheidungen verschiedene Quellen miteinander verglichen werden müssen.

Fachleute für Cybersicherheit sind die Hauptnutzer von CAPEC: SOC-Analysten, Penetrationstester, Sicherheitsarchitekten, Entwickler, Ausbilder oder Threat-Intelligence-Teams. Sie nutzen es, um gegnerische Taktiken zu verstehen, Testszenarien vorzubereiten und die Abwehr zu stärken.

Beispielsweise kann ein Pentester ein CAPEC verwenden, um einen simulierten Angriff nach einem realistischen Szenario zu strukturieren. Ein Entwickler kann dort Hinweise auf Designfehler finden, die vermieden werden sollten. Ein CISO kann sie in Risikoanalysen integrieren, um die potenziellen Folgen einer technischen Schwäche besser zu veranschaulichen.

Die CWE-Liste wird von der MITRE Corporation gepflegt, derselben Organisation, die das CVE-Programm verwaltet. MITRE wird vom US-amerikanischen Ministerium für Heimatschutz (DHS) und anderen öffentlichen und privaten Akteuren unterstützt, um diese Wissensdatenbank zu entwickeln und zu aktualisieren.

Die Community spielt ebenfalls eine Schlüsselrolle: Forscher, Herausgeber, Regierungen und Industrie können neue Schwächen vorschlagen, Änderungen anregen oder Feedback zur Nützlichkeit bestehender Einträge geben. Die Datenbank ist öffentlich, online frei zugänglich und wird kontinuierlich erweitert, um die Entwicklungen in Technologien und Angriffstechniken widerzuspiegeln.

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.