Mein IBM Anmelden Abonnieren
Was ist CVE (Common Vulnerabilities and Exposures)?

Was ist CVE (Common Vulnerabilities and Exposures)?
IBM CVE-Lösung erkunden Think-Newsletter abonnieren
Illustration mit Collage aus Piktogrammen von Ausrüstung, Roboterarm, Mobiltelefon

Veröffentlicht: 22. Juli 2024
Mitwirkende: Tasmiha Khan, Michael Goodwin
Was ist Common Vulnerabilities and Exposures (CVE)?

Was ist Common Vulnerabilities and Exposures (CVE)?

Common Vulnerabilities and Exposures (CVE) bezieht sich im Allgemeinen auf die CVE-Liste, einen öffentlich veröffentlichten Katalog von Sicherheitslücken im Bereich der Informationssicherheit, die von der MITRE Corporation eingerichtet und verwaltet werden.

Der CVE-Katalog ist eher ein Wörterbuch als eine CVE-Datenbank. Es gibt einen Namen und eine Beschreibung für jede Sicherheitslücke oder Gefährdung. Dadurch ermöglicht es die Kommunikation zwischen unterschiedlichen Tools und Datenbanken und trägt zur Verbesserung der Interoperabilität und Sicherheitsabdeckung bei. CVE kann kostenlos heruntergeladen und öffentlich verwendet werden. Die CVE-Liste wird in die US-amerikanische National Vulnerability Database (NVD) eingespeist.

Die Organisation CVE ist „eine internationale, gemeinschaftsbasierte Initiative, die ein gemeinschaftsbasiertes offenes Datenregister öffentlich bekannter Cybersicherheits-Schwachstellen, bekannt als CVE-Liste, führt.“1

Eine der grundlegenden Herausforderungen im Bereich der Cybersicherheit besteht darin, Schwachstellen zu identifizieren und zu beheben, die Hacker ausnutzen können, um Anwendungen, Systeme und Daten zu kompromittieren. CVE hilft bei der Bewältigung dieser Herausforderung, indem es ein standardisiertes Framework für die Katalogisierung und Nachverfolgung von Cybersicherheitslücken bereitstellt, das Unternehmen nutzen können, um die Prozesse zum Vulnerability Management zu verbessern.

Das CVE-System verwendet eindeutige Kennungen, sogenannte CVE-IDs (manchmal auch CVE-Nummern genannt), um jede gemeldete Sicherheitslücke zu kennzeichnen. Dies erleichtert eine effektive Kommunikation, Zusammenarbeit und Verwaltung von Sicherheitslücken.

Die MITRE Corporation hat CVE im Jahr 1999 als Referenzkatalog zur Kategorisierung von Sicherheitslücken in Software und Firmware erstellt. Das CVE-System hilft Unternehmen, Informationen über Cybersicherheitslücken zu erörtern und auszutauschen, den Schweregrad von Sicherheitslücken zu bewerten und Computersysteme sicherer zu machen.

Die CVE-Redaktion überwacht das CVE-Programm. Dem Vorstand gehören Mitglieder von Organisationen im Bereich Cybersicherheit, Mitglieder der Wissenschaft, Forschungseinrichtungen, Regierungsbehörden und andere bekannte Sicherheitsexperten an. Neben anderen Aufgaben genehmigt das Board die Datenquellen, die Produktabdeckung und die Abdeckungsziele für CVE-Listeneinträge und verwaltet die laufende Zuweisung neuer Einträge.2

Das US-CERT im Office of Cybersecurity and Communications des US-Department of Homeland Security (DHS) sponsert das CVE-Programm.3
IBM Concert Demo

Mit IBM® Concert® behalten Anwendungsbesitzer und SREs den Überblick. Proaktiv können sie Schwachstellen in Anwendungen priorisieren, beheben und nachverfolgen – für einen stabilen Betrieb.
Ähnliche Inhalte IBM X-Force® Threat Intelligence Index 2024
Schwachstellen vs. Risiken

Schwachstellen vs. Risiken

Das CVE-Programm definiert eine Schwachstelle als „eine Schwäche in der Rechenlogik von Software- und Hardwarekomponenten, die, wenn sie ausgenutzt wird, negative Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit hat“. Eine Schwachstelle bezieht sich also auf eine Schwachstelle, wie z. B. einen Coding-Fehler, die von Angreifern ausgenutzt werden kann, um sich unbefugten Zugriff auf Netzwerke und Systeme zu verschaffen, Malware zu installieren, Code auszuführen und sensible Daten zu stehlen oder zu zerstören. Eine Angriffsfläche ermöglicht diesen Zugriff.

Stellen Sie sich ein Haus vor: Eine Schwachstelle ist ein Fenster mit einem Schloss, das ein Einbrecher leicht knacken kann. Eine Angriffsfläche ist ein Fenster, das jemand vergessen hat zu schließen.
Was gilt als CVE?

Was gilt als CVE?

Um sich als CVE zu qualifizieren und eine CVE-Kennung (CVE ID) zu erhalten, müssen Sicherheitslücken bestimmte Kriterien erfüllen:

  • Behebung unabhängig von anderen Mängeln: Der Mangel muss unabhängig von anderen Schwachstellen behoben werden können.

  • Vom Anbieter bestätigt oder in einem Schwachstellenbericht dokumentiert: Der Anbieter muss bestätigen, dass der Fehler existiert und sich negativ auf die Sicherheit auswirkt. Oder es muss ein Schwachstellenbericht vorliegen, der die negativen Auswirkungen des Fehlers auf die Sicherheit und die Verletzung der Sicherheitsrichtlinie des betroffenen Systems nachweist.

  • Betrifft eine Codebasis: Der Fehler darf nur eine Codebasis (ein Produkt) betreffen. Fehler, die mehr als ein Produkt betreffen, werden für jedes Produkt mit separaten CVEs versehen.
Wie werden CVE-IDs zugewiesen: CNAs und Roots

Wie werden CVE-IDs zugewiesen: CNAs und Roots

CVE-Nummerierungsstellen (CNAs) vergeben CVE-IDs und veröffentlichen CVE-Datensätze innerhalb bestimmter Abdeckungsbereiche. Die MITRE Corporation fungiert als Redakteur und primärer CNA. Zu den anderen CNAs gehören große Betriebssystem- und IT-Anbieter (darunter IBM, Microsoft und Oracle), Sicherheitsforscher und andere autorisierte Stellen. CNAs arbeiten auf freiwilliger Basis. Derzeit gibt es 389 CNAs aus 40 verschiedenen Ländern.4

Roots und Top-Level-Roots

„Roots“ sind Unternehmen, die befugt sind, CNAs oder andere ‚Roots‘ innerhalb eines bestimmten Bereichs zu rekrutieren, auszubilden und zu leiten.

Top-Level-Wurzeln sind die obersten Wurzeln und für die „Steuerung und Verwaltung einer bestimmten Hierarchie, einschließlich der Wurzeln und CNAs innerhalb dieser Hierarchie“ verantwortlich.5 .Derzeit gibt es zwei Hauptakteure im CVE-Programm: die MITRE Corporation und die Cybersecurity and Infrastructure Security Agency (CISA).

Weitere Informationen zur Struktur der CVE-Organisation finden Sie hier.

Lebenszyklus eines CVE-Datensatzes

Jeder kann einen CVE-Bericht einreichen. Sicherheitslücken werden oft von Cybersicherheitsforschern, Sicherheitsexperten, Softwareanbietern, Mitgliedern der Open-Source-Community und Produktnutzern auf verschiedene Weise entdeckt, z. B. durch unabhängige Forschung, Sicherheitsbewertungen, Schwachstellen-ScansReaktion auf Vorfälle oder einfach durch die Nutzung eines Produkts. Viele Unternehmen bieten eine Belohnung für das Auffinden und verantwortungsvolle Melden von Schwachstellen in Software an.

Sobald eine neue Schwachstelle identifiziert und gemeldet wurde, wird sie zur Bewertung an eine CNA weitergeleitet. Ein neuer CVE ist dann für die Sicherheitslücke reserviert. Dies ist der Anfangszustand eines CVE-Datensatzes.

Nach der Prüfung der betreffenden Sicherheitslücke übermittelt der CNA Einzelheiten, darunter Angaben dazu, welche Produkte betroffen sind, etwaige aktualisierte oder behobene Produktversionen, den Typ der Sicherheitslücke, ihre Grundursache und Auswirkungen sowie mindestens eine öffentliche Referenz. Wenn diese Datenelemente dem CVE-Datensatz hinzugefügt wurden, veröffentlicht der CNA den Datensatz in der CVE-Liste und macht ihn öffentlich zugänglich.

Der CVE-Eintrag wird dann Teil der offiziellen CVE-Liste, wo er für Cybersicherheitsexperten, Forscher, Anbieter und Benutzer weltweit zugänglich ist. Unternehmen können CVE-IDs verwenden, um Schwachstellen in ihren Umgebungen zu verfolgen und zu priorisieren, ihre Gefährdung für bestimmte Bedrohungen zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.
CVE-Identifikatoren (CVE-IDs) und CVE-Datensätze

CVE-Identifikatoren (CVE-IDs) und CVE-Datensätze

CVE-Einträge umfassen eine CVE-ID, eine kurze Beschreibung der Sicherheitslücke und Referenzen, einschließlich Schwachstellenberichten und -hinweisen. CVE-IDs haben einen dreiteiligen Aufbau:

  1. Eine CVE-ID beginnt mit dem Präfix „CVE“

  2. Der zweite Abschnitt ist das Jahr der Aufgabe

  3. Der letzte Abschnitt der CVE-ID ist eine sequenzielle Kennung

Die vollständige ID sieht wie folgt aus: CVE-2024-12345. Diese standardisierte ID trägt dazu bei, die Konsistenz und Interoperabilität zwischen verschiedenen Plattformen und Repositories zu gewährleisten und ermöglicht es den Stakeholdern, Informationen über bestimmte Schwachstellen in einer „gemeinsamen Sprache“ zu finden und auszutauschen.

CVE-Einträge sind einem von drei Zuständen zugeordnet:

  • Reserviert: Dies ist der Anfangszustand, der einer CVE zugewiesen wird, bevor sie öffentlich bekannt gegeben wird (wenn ein CNA die Sicherheitsanfälligkeit untersucht).

  • Veröffentlicht: Dies ist der Zeitpunkt, an dem ein CNA die mit der CVE-ID verknüpften Daten gesammelt und eingegeben und den Datensatz veröffentlicht hat.

  • Abgelehnt: In dieser Phase sollten die CVE-ID und der Datensatz nicht verwendet werden. Der abgelehnte Datensatz verbleibt jedoch auf der CVE-Liste, um die Benutzer darüber zu informieren, dass die ID und der Datensatz ungültig sind.
Was ist das Common Vulnerability Scoring System (CVSS)?

Was ist das Common Vulnerability Scoring System (CVSS)?

Eine Möglichkeit, wie Unternehmen den Schweregrad von Schwachstellen bewerten können, ist die Verwendung des Common Vulnerability Scoring System (CVSS). Das CVSS wird vom Forum of Incident Response and Security Teams (FIRST) betrieben und ist eine standardisierte Methode, die von der National Vulnerability Database (NVD), den Cybersecurity Emergency Response Teams (CERTs) und anderen verwendet wird, um den Schweregrad und die Auswirkungen von gemeldeten Sicherheitslücken zu bewerten. Es ist vom CVE-System getrennt, wird aber zusammen mit CVE verwendet: CVE-Datensatzformate ermöglichen es CNAs, CVE-Datensätzen einen CVSS-Score hinzuzufügen, wenn sie Datensätze in der CVE-Liste veröffentlichen.6

Das CVSS weist den Schwachstellen eine numerische Bewertung zu, die zwischen 0,0 und 10 liegt und auf der Grundlage von Ausnutzbarkeit, Ausmaß der Auswirkungen und anderen Metriken liegt. Je höher die Punktzahl, desto schwerwiegender das Problem. Dieser Wert hilft Unternehmen dabei, die Dringlichkeit der Behebung einer bestimmten Schwachstelle einzuschätzen und Ressourcen entsprechend zuzuweisen. Es ist nicht ungewöhnlich, dass Unternehmen auch ein eigenes Schwachstellenbewertungssystem verwenden.

CVSS-Werte werden auf Grundlage von Wertungen aus drei Messgruppen (Basis, Zeit und Umgebung) berechnet, die unterschiedliche Merkmale einer Sicherheitslücke berücksichtigen.
Basismetriken

Unternehmen verlassen sich am meisten auf die Basis-Metrik-Werte, und öffentliche Einstufungen der Schwere wie die in der National Vulnerability Database des National Institute of Standards and Technology (NIST) verwenden ausschließlich den Basis-Metrik-Wert. Bei dieser Bewertung der Basismetriken werden weder die Merkmale der Schwachstelle berücksichtigt, die sich im Laufe der Zeit ändern (zeitliche Metriken), noch reale Faktoren wie die Benutzerumgebung oder Maßnahmen, die ein Unternehmen ergriffen hat, um die Ausnutzung eines Fehlers zu verhindern.

Die Basismetriken werden weiter unterteilt in Ausnutzbarkeitsmetriken und Auswirkungsmetriken:

  • Zu den Ausnutzbarkeitsmetriken gehören Faktoren wie Angriffsvektor, Angriffskomplexität und erforderliche Berechtigungen.

  • Zu den Auswirkungsmetriken gehören die Auswirkungen auf die Vertraulichkeit, die Auswirkung auf die Integrität und die Auswirkung auf die Verfügbarkeit.7
Zeitliche Metriken

Zeitmetriken messen eine Schwachstelle in ihrem aktuellen Zustand und werden verwendet, um den Schweregrad einer Auswirkung widerzuspiegeln, wenn sie sich im Laufe der Zeit ändert. Sie enthalten auch alle Abhilfemaßnahmen wie verfügbare Patches. Der Reifegrad des Ausnutzungscodes, der Grad der Behebung und die Zuverlässigkeit der Berichte sind Komponenten der zeitlichen Metrikbewertung.
Umweltmetriken

Umgebungsmetriken ermöglichen es einem Unternehmen, die Basisbewertung entsprechend den eigenen Umgebungs- und Sicherheitsanforderungen anzupassen. Diese Bewertung hilft dabei, eine Schwachstelle in einen klareren Kontext zu setzen, da sie sich auf die Organisation bezieht und eine Bewertung der Vertraulichkeitsanforderungen, der Integritätsanforderungen und der Verfügbarkeitsanforderungen umfasst. Diese Metriken werden zusammen mit modifizierten Basismetriken berechnet, die die spezifische Umgebung messen (z. B. modifizierter Angriffsvektor und modifizierte Angriffskomplexität), um eine Bewertung der Umgebungsmetriken zu erhalten.
Auswirkungen von CVE auf das Schwachstellenmanagement

Auswirkungen von CVE auf das Schwachstellenmanagement

Das CVE-Programm stellt einen kollaborativen und systematischen Ansatz zur Identifizierung, Katalogisierung und Behebung von Schwachstellen und Risiken der Cybersicherheit dar. Durch das Angebot eines standardisierten Systems zur Identifizierung und Referenzierung von Schwachstellen hilft CVE Unternehmen auf verschiedene Weise, das Schwachstellenmanagement zu verbessern:
Informationen teilen

CVE hilft Unternehmen, Informationen über eine Schwachstelle mithilfe einer gemeinsamen Kennung zu besprechen und auszutauschen. Beispielsweise veröffentlichen Sicherheitshinweise häufig Listen von CVEs zusammen mit CVSS-Scores, die Unternehmen als Grundlage für ihre Risikomanagementstrategien und Patch-Planungszyklen verwenden.
Stärkung der Cybersicherheit

CVE hilft Unternehmen, Sicherheitsrisiken effektiv zu managen, die Bedrohungstransparenz und -erkenntnisse zu verbessern und ihre allgemeine Cybersicherheit in einer zunehmend komplexen und dynamischen Bedrohungslandschaft zu stärken.
Bessere Datenkorrelation

CVE-IDs erleichtern die Datenkorrelation und ermöglichen es IT-Teams, mehrere Quellen nach Informationen zu einer bestimmten Schwachstelle zu durchsuchen.
Tools und Strategien auswählen

Die CVE-Liste wird verwendet, um zu bestimmen, welche Sicherheitstools für die Bedürfnisse eines Unternehmens am besten geeignet sind, und um Risikomanagementstrategien zu entwickeln, die bekannte Schwachstellen und die potenziellen Auswirkungen dieser Sicherheitsprobleme auf Unternehmenssysteme und Daten berücksichtigen. Mit diesen Informationen können Unternehmen besser feststellen, wie bestimmte Produkte zu ihrem Sicherheitsstatus passen, und Maßnahmen ergreifen, um ihr Risiko für Cyberangriffe und Datenschutzverletzungen zu minimieren.
CVE vs. CWE

CVE vs. CWE

CVE ist ein Katalog bekannter Cybersicherheitslücken, bei dem eine CVE-ID für einen Softwarefehler spezifisch ist. Die Common Weaknesses Enumeration (CWE) ist ein Projekt der IT-Community, das verschiedene Arten oder Categories von Hardware- und Software-Schwachstellen auflistet, wie z. B. Pufferfehler, Authentifizierungsfehler oder CPU-Probleme. Diese Schwachstellen können zu einer Sicherheitslücke führen.
Weiterführende Lösungen

Weiterführende Lösungen

IBM Concert Anwendungs-Risikomanagement

Mit IBM Concert behalten Anwendungsbesitzer und SREs den Überblick. Proaktiv können sie Schwachstellen in Anwendungen priorisieren, beheben und nachverfolgen – für einen stabilen Betrieb.

 IBM Concert Anwendungs-Risikomanagement erkunden Buchen Sie eine Live-Demo
IBM Security

IBM® Security arbeitet gemeinsam mit Ihnen am Schutz Ihres Unternehmens mit einem fortschrittlichen und integrierten Portfolio von Cybersicherheitslösungen und -services für Unternehmen inklusive integrierter KI. Unser moderner Ansatz für Ihre Sicherheitsstrategie setzt auf die Anwendung von Zero-Trust-Prinzipien und hilft Ihnen, mit Unsicherheit und Cyber-Bedrohungen erfolgreich umzugehen.

 IBM Security erkunden IBM X-Force Threat Intelligence Index 2024 erkunden
IBM Anwendungssicherheitsservices

Ermöglicht überall die sichere Erstellung, Bereitstellung und Iteration von Anwendungen durch die Umwandlung von DevOps in DevSecOps, einschließlich Menschen, Prozesse und Tools.

 Erkunden Sie IBM Anwendungssicherheitsservices
Ressourcen

Ressourcen

IBM X-Force Threat Intelligence Index 2024

Der IBM X-Force® Threat Intelligence Index 2024 liefert wesentliche Forschungserkenntnisse und Empfehlungen, um Ihnen zu helfen, sich auf Angriffe vorzubereiten und mit größerer Geschwindigkeit und Wirksamkeit darauf zu reagieren.

 Was ist eine API?

Eine API (Application Programming Interface) – oder Programmierschnittstelle – ist eine Reihe von Regeln oder Protokollen, die es Softwareanwendungen ermöglichen, miteinander zu kommunizieren, um Daten, Funktionen und Funktionalitäten auszutauschen.

 Was versteht man unter Automatisierung?

Unter Automatisierung versteht man den Einsatz von Technologien, Programmen, Robotern oder Prozessen, um mit minimalem menschlichen Einsatz ein Ergebnis zu erzielen.

 Was ist Softwareentwicklung?

Softwareentwicklung bezieht sich auf eine Reihe von Informatikaktivitäten, die sich mit dem Prozess der Erstellung, des Designs, der Bereitstellung und der Unterstützung von Software befassen.

 Was ist Dynamic Application Security Testing (DAST)?

Dynamic Application Security Testing (DAST) ist eine Testmethode für die Cybersicherheit, die verwendet wird, um Sicherheitslücken und Fehlkonfigurationen in Webanwendungen, APIs und seit Kurzem auch in mobilen Apps zu identifizieren.

Was ist der Lebenszyklus des Schwachstellenmanagements?

Der Lebenszyklus des Schwachstellenmanagements ist ein kontinuierlicher Prozess zur Entdeckung, Priorisierung und Behebung von Sicherheitslücken in den IT-Anlagen eines Unternehmens.
Machen Sie den nächsten Schritt

IBM Concert gibt Ihnen die Kontrolle über die Vereinfachung und Optimierung Ihres Anwendungsmanagements und Ihres Technologiebetriebs mit generativen KI-gestützten Erkenntnissen, damit Sie sich auf die Bereitstellung verbesserter Client Experiences und verbesserter Entwickler- und SRE-Produktivität konzentrieren können.

 IBM Concert erkunden Think-Newsletter abonnieren
Produkte Kostenlose Testversionen Rabatte Services Branchen Kundenreferenzen Events THINK Blog Finanzierung Entwickler IBM Business Partner Neupartner (Startangebote) IBM Consulting Support Business Partner Meine IBM IBM Innovation Studio Munich IBM Innovation Studio Zurich Karriere Newsroom Teilnahme an der User Experience Research Investor-Relations IBM in DACH Gesetz zu Sorgfaltspflichten in der Lieferkette (LkSG) IBM Central Holding GmbH Frauenquote §289f HGB (PDF, 427 KB) X LinkedIn YouTube Deutschland — Deutsch Kontakt Datenschutz Nutzungsbedingungen Barrierefreiheit Impressum