FAQ

Die von der CISA veröffentlichte KEV-Liste (Known Exploited Vulnerabilities) listet aktiv ausgenutzte Schwachstellen auf, d. h. solche, die bereits in realen Cyberangriffen eingesetzt werden. Ziel dieser Liste ist es, Organisationen bei der Priorisierung ihrer Korrekturmaßnahmen zu unterstützen, indem sie sich auf die Schwachstellen konzentrieren, die eine unmittelbare Bedrohung darstellen.

Mit der Veröffentlichung dieser Liste stellt die CISA ein sehr konkretes Instrument für das Risikomanagement zur Verfügung: Sie weist nicht nur auf bekannte Schwachstellen hin, sondern auch auf die kritischsten und dringendsten. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb strenger Fristen obligatorisch. Aber über die USA hinaus wird die KEV-Liste von Cybersicherheitsexperten auf der ganzen Welt konsultiert, um ihre Patch-Management-Strategie auszurichten.

Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.

Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.

Die CISA (Cybersecurity and Infrastructure Security Agency) ist eine US-amerikanische Regierungsbehörde. Sie ist für den Schutz kritischer Infrastrukturen der Vereinigten Staaten vor Cyber- und physischen Bedrohungen zuständig, indem sie Behörden, Unternehmen und der Öffentlichkeit Unterstützung, Tools und Empfehlungen bietet.

Im Bereich der Cybersecurity fungiert die CISA als Koordinierungsstelle, um Cyberangriffe zu verhindern, auf Vorfälle zu reagieren, Informationen über Bedrohungen auszutauschen und Best Practices für die Sicherheit zu fördern. Obwohl sie eine amerikanische Behörde ist, beeinflussen ihre Rolle und ihre Ressourcen die Cybersecurity-Praktiken weltweit aufgrund ihrer Transparenz und Führungsrolle.

Die CISA spielt eine zentrale Rolle bei der Verwaltung von Schwachstellen in großem Umfang. Sie identifiziert, bewertet und kommuniziert aktiv über Sicherheitslücken, die kritische Infrastrukturen beeinträchtigen könnten, insbesondere Regierungsdienste, Betreiber wesentlicher Dienste und große Unternehmen. Sie arbeitet häufig mit MITRE, Herstellern, Sicherheitsforschern und anderen internationalen Behörden zusammen.

Zu ihren Aufgaben gehören die Veröffentlichung von Sicherheitsbulletins, die Koordinierung von Reaktionen auf bestimmte schwerwiegende Schwachstellen und die gelegentliche Auferlegung obligatorischer Korrekturfristen für bestimmte Schwachstellen in öffentlichen Einrichtungen durch Bundesrichtlinien (BODs). Ihr Ziel ist es, die Zeit zwischen der Entdeckung einer Schwachstelle und ihrer tatsächlichen Behebung vor Ort zu verkürzen.

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.

Um festzustellen, ob eine CVE aktiv ausgenutzt wird, können verschiedene Informationsquellen konsultiert werden. Die zuverlässigste ist die KEV-Datenbank (Known Exploited Vulnerabilities), die von der CISA gepflegt wird und CVEs auflistet, deren Ausnutzung in freier Wildbahn bestätigt wurde. Sie wird regelmäßig aktualisiert und häufig verwendet, um Korrekturprioritäten festzulegen. Diese Informationen sind direkt auf unserer Website CVE Find zugänglich.

Man kann sich auch auf den EPSS-Score stützen, der die Wahrscheinlichkeit der Ausnutzung einer CVE innerhalb von 30 Tagen nach ihrer Veröffentlichung auf der Grundlage von realen Daten schätzt. Schließlich können auch Threat-Intelligence-Tools, CERT-Berichte oder Sicherheitsbulletins von Herstellern darauf hinweisen, ob eine Schwachstelle derzeit von Angreifern ausgenutzt wird.