Schwachstellenmanagement: CVE und CVSS
Jeden Tag werden neue Sicherheitslücken in Software entdeckt. Wie priorisiert ein Unternehmen, welche sofort gepatcht werden müssen und welche warten können? Dafür gibt es zwei internationale Standards: CVE (Common Vulnerabilities and Exposures) als eindeutiges Identifikationssystem für Schwachstellen und CVSS (Common Vulnerability Scoring System) als Bewertungssystem für ihre Schwere. Wer Schwachstellenmanagement betreibt, arbeitet täglich mit diesen Systemen.
1) CVE – Eindeutige Schwachstellen-ID
Jede bekannte Sicherheitslücke bekommt eine eindeutige CVE-Nummer: CVE-JAHR-NUMMER. Beispiel: CVE-2021-44228 ist die berühmte Log4Shell-Schwachstelle in der Java-Bibliothek Log4j. CVEs werden von MITRE verwaltet und in der National Vulnerability Database (NVD) des NIST dokumentiert – inklusive Beschreibung, betroffene Versionen, CVSS-Score und verfügbare Patches.
CVEs schaffen eine gemeinsame Sprache: Wenn der Hersteller, das CERT, der Patch-Management-Dienst und der Sicherheitsanalyst alle von CVE-2021-44228 sprechen, wissen alle genau, welche Lücke gemeint ist – egal welche Sprache oder welches Tool sie nutzen.
2) CVSS – Schwachstellen bewerten
CVSS (aktuell Version 3.1) bewertet die Schwere einer Schwachstelle auf einer Skala von 0,0 bis 10,0. Der Score setzt sich aus mehreren Metriken zusammen, die beschreiben: Wie ist die Lücke ausnutzbar? Welche Auswirkungen hat sie? Muss der Angreifer Zugang haben?
Log4Shell (CVE-2021-44228): CVSS 10.0 – Remote Code Execution ohne Authentifizierung, trivial ausnutzbar, betrifft Millionen Systeme. Einer der gefährlichsten Bugs der letzten Jahre.
3) Schwachstellenmanagement-Prozess
| Phase | Was passiert |
|---|---|
| Identifikation | Automatisierter Scan aller Systeme mit Schwachstellen-Scanner (Nessus, OpenVAS, Qualys) |
| Bewertung | CVSS-Score lesen, Umgebungskontext prüfen (intern/extern, Datenkritikalität) |
| Priorisierung | Critical/High sofort, Medium im nächsten Patchzyklus, Low langfristig |
| Behebung | Patch einspielen, Konfiguration ändern, Workaround implementieren oder Risiko akzeptieren |
| Verifikation | Erneuter Scan bestätigt, dass die Schwachstelle behoben ist |
| Reporting | Dokumentation für Compliance (BSI-Grundschutz, ISO 27001) |
Zusammenfassung
CVE ist das eindeutige Identifikationssystem für Sicherheitslücken (Format: CVE-JAHR-NUMMER). CVSS bewertet Schwere auf einer Skala 0–10: Low, Medium, High, Critical. Critical (9–10) erfordert sofortiges Handeln. Der Schwachstellenmanagement-Prozess: Identifizieren → Bewerten → Priorisieren → Beheben → Verifizieren → Dokumentieren. Patch-Management ist ein zentrales Element des BSI-Grundschutzes und von Wirksamkeitsprüfungen.