CVE und CVSS im Patch-Kontext
Wenn ein neuer Patch erscheint, ist die wichtigste Frage: Wie kritisch ist die Schwachstelle, die er schließt? Sollte man heute noch alles stehen lassen und sofort patchen – oder reicht der nächste Wartungs-Sonntag? Genau dafür gibt es zwei Standards: CVE (Common Vulnerabilities and Exposures) ist eine eindeutige Identifikationsnummer für jede bekannte Schwachstelle. CVSS (Common Vulnerability Scoring System) ist die Skala, die jeder Schwachstelle einen Score von 0,0 bis 10,0 zuweist – aus dem direkt die Behandlungs-Dringlichkeit folgt. Diese zwei Standards sind das Vokabular, mit dem die ganze Sicherheits-Welt redet: ein Microsoft-Bulletin sagt nicht „der Bug ist mittelschwer", sondern „CVE-2026-XXXX, CVSS 7.5". Diese Lektion zeigt dir Aufbau einer CVE-ID, die CVSS-Skala und die wichtigsten Score-Faktoren – mit einem klickbaren Mini-Calculator, der zeigt, wie sich Bewertungs-Entscheidungen auf den Score auswirken. Sicherheits-Grundlagen dazu findest du in Schwachstellenmanagement (K07) – hier ist der Fokus speziell auf Patch-Entscheidungen.
1) Was ist eine CVE?
Eine CVE-ID ist ein eindeutiger Bezeichner für eine bekannte Schwachstelle. Verwaltet wird die Liste von MITRE (CVE.org) in den USA; Schwachstellen kommen aus Forschungs-Teams, Hersteller-Meldungen, Bug-Bounty-Programmen. Aufbau: CVE-JAHR-LFDNR, z. B. CVE-2024-3094. Jede CVE ist ein Datensatz mit standardisierten Feldern:
Wichtige Datenbanken, die CVEs aggregieren:
- NVD (National Vulnerability Database, NIST) – die offizielle US-Datenbank mit CVSS-Scoring
- MITRE CVE – die ursprüngliche Quelle der CVE-IDs
- BSI WID – Warn- und Informationsdienst des BSI, Deutsche-Fokus
- Vendor Bulletins – Microsoft MSRC, Red Hat RHSA, Ubuntu USN etc.
- Exploit-Datenbanken – Exploit-DB, Metasploit, GitHub PoCs – zeigen, ob ein Exploit „in the wild" existiert
2) CVSS – die Score-Skala
CVSS liefert einen Wert von 0,0 bis 10,0. Die Skala ist genormt (NIST), so dass „CVSS 8.5" überall die gleiche Bedeutung hat. Aktuelle Version ist CVSS 3.1, CVSS 4.0 wurde 2023 veröffentlicht, ist aber noch weniger verbreitet.
Diese Fristen sind branchenüblich, aber nicht universell – das BSI empfiehlt für KRITIS strenger, kleine Firmen können laxer. Aber: Critical innerhalb von 24-72 h ist quasi-Konsens, weil Angreifer aktive Exploits oft binnen Stunden veröffentlichen.
3) Wie kommt der Score zustande – die 3 Metrik-Gruppen
CVSS 3.1 kombiniert acht Basis-Metriken zu einem Score. Die wichtigsten – wir konzentrieren uns auf die Basis-Gruppe (die für die Patch-Bewertung entscheidende):
| Metrik | Bedeutung | Werte |
|---|---|---|
| AV – Attack Vector | Wo kommt der Angriff her? | Network / Adjacent / Local / Physical |
| AC – Attack Complexity | Wie schwierig ist der Angriff? | Low / High |
| PR – Privileges Required | Welche Rechte braucht der Angreifer schon? | None / Low / High |
| UI – User Interaction | Muss ein User mitspielen? | None / Required |
| S – Scope | Bleibt der Schaden im verwundbaren Komponenten-Bereich? | Unchanged / Changed |
| C – Confidentiality | Vertraulichkeits-Verlust? | None / Low / High |
| I – Integrity | Integritäts-Verlust? | None / Low / High |
| A – Availability | Verfügbarkeits-Verlust? | None / Low / High |
4) CVSS-Calculator – interaktiv
Spiele mit den Werten, um zu sehen, wie sie den Score beeinflussen. Realistisch: das echte Worst-Case-Szenario ist Remote Code Execution ohne Authentifizierung – wirf einen Blick, wie schnell der Score in den Critical-Bereich rutscht:
nvd.nist.gov/vuln-metrics/cvss/v3-calculator.5) Patch-Entscheidungen anhand CVSS
Der CVSS-Score ist die technische Bewertung. Für die Patch-Entscheidung kommen weitere Faktoren dazu:
- Exposure / Erreichbarkeit: Steht die Maschine im Internet (Web-Frontend) oder im internen Netz hinter mehrfacher Firewall? Eine CVSS-9-Lücke im internen Netz ist trotzdem weniger eilig als CVSS 6 auf dem Web-Server.
- Geschäftskritikalität: Wie wichtig ist das System? CVSS 8 auf dem Kassen-Server ist akuter als auf dem internen Testsystem.
- Aktive Ausnutzung: Gibt es bereits Exploits „in the wild"? CISA pflegt eine Known Exploited Vulnerabilities (KEV)-Liste – steht eine CVE drauf, ist schnelle Aktion Pflicht, unabhängig vom CVSS-Score.
- Verfügbarkeit eines Patches: Ohne Patch hilft nur Workaround (Dienst stoppen, Firewall-Regel, Konfig-Änderung).
- Risiko des Patches selbst: Ein Patch, der bekannt für Nebenwirkungen ist, braucht mehr Test-Tiefe.
Daraus ergibt sich oft ein kontextbezogener interner Score, der nicht 1:1 dem öffentlichen CVSS entspricht.
6) CVE-Workflow im Patch-Management
- Monitoring der CVE-Feeds (RSS, Mailingliste, Vulnerability-Scanner)
- Filterung nach „betrifft unsere Systeme" (Vendor + Produkt + Version vs. CMDB)
- Bewertung mit CVSS + internem Kontext (Exposure, Geschäftskritikalität)
- Patch-Suche oder Workaround-Identifizierung
- Testung & Rollout nach Standardprozess (siehe vorige Lektion)
- Nachverfolgung bis zur Compliance (CVE als „geschlossen" markieren)
7) CVSS-Versionen – worauf achten
| Version | Veröffentlicht | Anmerkung |
|---|---|---|
| CVSS 2.0 | 2007 | Älter, einfacher, in alten Datenbanken noch zu sehen |
| CVSS 3.0 | 2015 | Erweitert mit Scope, User Interaction etc. |
| CVSS 3.1 | 2019 | Aktueller Standard in den meisten Tools und Vendor Advisories |
| CVSS 4.0 | 2023 | Neuer, betont u. a. „Threat Metrics" und „Environmental Metrics" stärker; Übergang läuft |
Wenn du eine CVE-Bewertung liest, schau immer auf die Version. Eine „CVSS 7.5" in 2.0 ist nicht dasselbe wie in 3.1.
8) Antipatterns
- CVSS als alleinige Entscheidungs-Grundlage. CVSS sieht den Angriffsvektor, aber nicht dein System. Eine CVSS-8-Lücke auf einem isolierten Testserver ist weniger gefährlich als eine CVSS-6 auf dem Web-Frontend.
- KEV-Liste ignorieren. Wenn eine CVE auf der CISA-KEV-Liste steht, ist sie aktiv ausgenutzt – Score irrelevant, schnell handeln.
- Manuelles CVE-Tracking. Per Hand Microsoft-Bulletins lesen funktioniert in einer kleinen Firma. Bei 200 Servern: Vulnerability-Scanner Pflicht.
- „Wir haben das gepatcht" ohne Verifikation. Patch installiert ≠ Schwachstelle weg. Vulnerability-Scan muss bestätigen, dass die CVE nicht mehr detektiert wird.
- Alte CVSS-Versionen mischen. Vergleich nicht möglich. Bei Tools auf einheitlicher Version arbeiten.
Zusammenfassung
CVE = eindeutige ID für jede bekannte Schwachstelle (Format CVE-Jahr-Nr), verwaltet von MITRE; aggregiert in NVD, BSI WID, Vendor-Bulletins. CVSS = Skala 0,0-10,0 mit Severity-Stufen: Critical (9-10), High (7-8.9), Medium (4-6.9), Low (0.1-3.9). Aktuelle Version 3.1, CVSS 4.0 in der Einführung. Base-Metriken: AV (Attack Vector), AC (Complexity), PR (Privileges), UI (User Interaction), S (Scope), C/I/A (Confidentiality, Integrity, Availability). Patch-Fristen aus CVSS: Critical < 72 h, High 1-2 Wochen, Medium 30 T, Low 90 T. Bewertung im Kontext: Exposure, Geschäftskritikalität, aktive Ausnutzung (CISA KEV), Patch-Verfügbarkeit. Tools für CVE-Tracking: Qualys, Nessus, Rapid7, Tenable. Antipatterns: CVSS als alleiniges Kriterium, KEV-Liste übersehen, manuelles Tracking bei großen Setups, fehlende Verifikation nach Patch.
Verwandte Lektionen: CVE/CVSS Grundlagen · Patch-Management-Prozess · Patch-Typen · und mehrWeitere relevante LektionenCIA-TriadePatch-ComplianceChange-TypenIDS/IPSWSUSLinux PatchIncident Management