Begriff
CVE (Common Vulnerabilities and Exposures)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Software hat Fehler. Manche Fehler erlauben es Hackern, einzubrechen.
Wenn so ein Fehler in einer bekannten Software (wie Windows, Chrome oder Log4j) gefunden wird, bekommt er einen Namen.
Dieser Name ist die CVE-ID.
Beispiel: CVE-2021-44228 (Log4Shell).
2021: Das Jahr.44228: Eine laufende Nummer. Damit weiß jeder Admin auf der Welt genau: "Ah, diese Lücke meinst du." Es ist der globale Katalog für Sicherheitslücken.
Merksatz: Ein standardisiertes Referenzsystem (Liste) für öffentlich bekannte Cybersicherheitslücken, wobei jeder Eintrag eine eindeutige Kennung (CVE-ID) erhält.
Du scannst deine Systeme (Container, Server) regelmäßig mit einem Vulnerability Scanner (Trivy, Snyk, Nessus).
Der Scanner meldet: "Dein Docker Image hat CVE-2023-1234."
Du googlest die ID oder schaust in die NIST NVD (National Vulnerability Database).
Dort steht: "Update sofort auf Version 1.2.3, sonst Hack."
Deine Aufgabe: Patchen (Update installieren).
1. CVSS Score (Die Note)
Eine CVE hat immer einen CVSS Score (Common Vulnerability Scoring System) von 0.0 bis 10.0.
- Base Score: Wie schlimm ist es technisch? (Ist es übers Netzwerk ausnutzbar? Braucht man Rechte?).
- Temporal Score: Gibt es schon einen Exploit-Code im Internet? (Macht es dringender).
- Environmental Score: Wie wichtig ist dein Server? (Ist er im Internet oder im Keller?). Ein Score von 9.8 (Critical) heißt: "Sofort alles stehen und liegen lassen und patchen!"
2. CNA (Numbering Authorities)
Nicht jeder darf eine CVE vergeben. Nur autorisierte CNAs (z. B. Microsoft, Google, Red Hat) dürfen Nummern für ihre Produkte reservieren. MITRE (eine US-Organisation) verwaltet die Liste.
3. False Positives & VEX
Scanner sind dumm. Sie sehen "Library X Version 1.0" -> "Alarm CVE!". Aber vielleicht nutzt du die verwundbare Funktion der Library gar nicht? Das nennt man "Not Affected". Der moderne Standard VEX (Vulnerability Exploitability eXchange) erlaubt es Herstellern zu sagen: "Ja, wir nutzen diese Library, aber wir rufen die böse Funktion nicht auf. Status: Not Affected." Das spart Admins tausende Stunden unnötiger Arbeit.
EPSS (Exploit Prediction Scoring System)
Der CVSS Score ignoriert die Realität oft. Eine Library tief im Code mag CVSS 9.8 (Critical) haben, ist aber von außen völlig unerreichbar. Admins drehen durch, weil sie bei hunderten 9.8er Lücken nicht wissen, wo sie anfangen sollen. EPSS hilft. Es ist ein datengetriebenes (Machine Learning) Modell, betrieben vom FIRST-Konsortium. Es bewertet nicht, "wie schlimm" der Fehler ist, sondern "wie wahrscheinlich es ist, dass er in den nächsten 30 Tagen aktiv in freier Wildbahn automatisiert ausgenutzt wird". Wenn eine Schwachstelle CVSS 9.0 hat, aber der EPSS nur 0.001% angibt (weil der Exploit noch kein PoC im Netz hat), priorisiert das Security-Team stattdessen die CVSS 7.5-Lücke, die EPSS 95% hat, weil russische Botnetze sie bereits aktiv scannen.
CISA KEV (Known Exploited Vulnerabilities) Catalog
Die CISA (US Cybersecurity Agency) betreibt den "KEV Catalog" ("Must-patch list"). Hier landen nur CVEs, für die es unwiderlegbare Beweise gibt, dass sie aktuell in echten Angriffen verwendet werden. Für US-Behörden (BOD 22-01) ist diese Liste rechtlich bindend – taucht eine CVE dort auf, muss sie oft innerhalb von 2 Wochen gepatcht werden. In der Industrie gilt der KEV-Katalog heute als Goldstandard für die Alarmstufe Rot.
OVAL & SCAP (Automatisierte Evaluation)
Wie scannen Enterprise-Tools (wie Nessus oder Qualys) 10.000 Server auf eine spezifische CVE, ohne sie abzustürzen?
Sie nutzen standardisierte Definitions-Sprachen wie OVAL (Open Vulnerability and Assessment Language).
In einer OVAL-XML steht maschinenlesbar: "Wenn Windows Registry Key X den Wert Y hat UND die Datei xyz.dll eine Version < 2.0.4 hat, dann ist das System verwundbar".
Das SCAP (Security Content Automation Protocol) orchestriert diese Scans und liefert standardisierte, juristisch belastbare Audits für ISO27001 Zertifizierungen.
Quick-Check
Was ist ein Zero-Day?
Eine Lücke, die Hackern bekannt ist, aber dem Hersteller noch nicht (0 Tage Zeit zum Fixen). Oft haben diese noch keine CVE-ID oder bekommen sie erst später.Muss ich CVEs mit Score "Low" patchen?
Kommt auf deine Policy an. Oft reicht es beim nächsten regulären Update. Bei "Critical" und "High" gibt es meist SLAs (z. B. Fix innerhalb von 24h).Werden alle Lücken CVEs?
Nein. Wenn ich eine Lücke auf deiner privaten Webseite finde, ist das keine CVE. CVEs sind für öffentlich verfügbare Software (Standardsoftware, Libraries).