Was ist CVE (Common Vulnerabilities and Exposures)?

Common Vulnerabilities and Exposures (CVE) ist ein standardisiertes System zur Identifizierung und Katalogisierung öffentlich bekannter Cybersicherheitslücken.

Was bedeutet CVE?

Common Vulnerabilities and Exposures (CVE) ist ein öffentliches, standardisiertes Identifizierungssystem für Internet-Sicherheit Schwachstellen, wobei jeder Eintrag einer spezifischen, öffentlich bekanntgegebenen Sicherheitslücke eine eindeutige ID (den CVE-Identifikator) zuweist. Ein CVE-Eintrag dient als einheitliche Referenzbezeichnung für Sicherheitstools, -warnungen und -hinweise. Flicken Notizen und Vorfallberichte weisen alle darauf hin, sodass alle vom selben zugrunde liegenden Fehler sprechen, selbst wenn Anbieter oder Produkte ihn unterschiedlich beschreiben.

Wichtig ist, dass ein CVE-Eintrag weder eine Schweregradbewertung noch eine eigenständige Lösung darstellt. Vielmehr handelt es sich um einen Indexeintrag, der in der Regel eine kurze Beschreibung und Verweise auf maßgebliche Quellen (wie Herstellerhinweise oder technische Analysen) enthält. Dadurch können Unternehmen betroffene Produkte verfolgen, das Problem internen Systemen zuordnen, die Behebung priorisieren und überprüfen, ob diese Systeme gefährdet sind.

Wie funktioniert CVE?

CVE funktioniert, indem es einen gemeldeten Fehler in eine Meldung umwandelt. Verwundbarkeit in einem standardisierten Datensatz, auf den das gesamte Sicherheitsökosystem zugreifen kann, sodass Tools und Teams dasselbe Problem von der Entdeckung bis zur Behebung konsistent verfolgen können. So funktioniert es genau:

Eine potenzielle Sicherheitslücke wurde entdeckt und gemeldet. Forscher, Anbieter oder Benutzer identifizieren eine Sicherheitslücke und teilen genügend Details mit, um zu beschreiben, was betroffen ist und warum es wichtig ist. Damit wird der formale Tracking-Prozess eingeleitet.
Eine CVE-Nummerierungsstelle (CNA) prüft den Bericht. Der CNA (oft der Anbieter oder eine koordinierende Organisation) bestätigt, dass es sich um eine eindeutige Schwachstelle handelt und sammelt die minimal erforderlichen Informationen, um diese klar zu identifizieren.
Eine CVE-ID wird reserviert und zugewiesen. Die CNA reserviert eine eindeutige Kennung (zum Beispiel CVE-YYYY-NNNNN), die allen Beteiligten einen stabilen Bezugspunkt bietet, während die Analyse und Koordination andauern.
Die Schwachstelle ist eingegrenzt und dokumentiert. Betroffene Produkte/Versionen, die Art des Fehlers und verlässliche Referenzen werden erläutert, was die Verwirrung verringert und nachgelagerten Verbrauchern hilft, das Problem realen Systemen zuzuordnen.
Der CVE-Eintrag wird in der CVE-Liste veröffentlicht. Der Eintrag wird im zentralen Katalog öffentlich sichtbar und ist somit für Sicherheitstools und Schwachstellenanalysen auffindbar. Datenbankenund Beratungsfeeds.
Schweregrad und Ausnutzbarkeit werden an anderer Stelle (oft mittels CVSS) bewertet. Die Bewertung und detailliertere Analysen werden in der Regel von Anbietern, dem NVD oder anderen Quellen bereitgestellt, was Organisationen bei der Priorisierung von Patches hilft, auch wenn dies unabhängig von der CVE-ID selbst ist.
Organisationen nutzen die CVE-ID, um die Behebung und Verifizierung voranzutreiben. Die Teams ordnen CVEs den Assets zu, wenden Patches oder Abhilfemaßnahmen an und bestätigen anschließend, dass die Sicherheitslücke geschlossen ist. Dabei dient die CVE als gemeinsame Referenz für Scanner, Tickets und Berichte.

CVE-Format

Eine CVE-Kennung wird in folgender Form geschrieben: CVE-YYYY-NNNNN (wobei der letzte Teil manchmal länger ist), wobei jedes Element dazu beiträgt, die ID eindeutig und leicht referenzierbar zu machen. Folgendes ist enthalten:

CVE: das Präfix, das es als Common Vulnerabilities and Exposures ID kennzeichnet.
YYYY: das Jahr, in dem die CVE-ID zugewiesen oder reserviert (nicht unbedingt das Jahr, in dem der Fehler entdeckt oder öffentlich bekannt gegeben wurde).
NNNNN…Eine numerische Sequenz, die die Schwachstelle innerhalb dieses Jahres eindeutig identifiziert. Es ist mindestens vier Stellen und kann mehr als vier (Es gibt heute keine festgelegte maximale Länge), wodurch in einem einzigen Jahr viele Ausweise ausgestellt werden können.

Ejemplo: CVE-2024-3094.

Was ist ein Beispiel für eine häufige Schwachstelle und ein damit verbundenes Sicherheitsrisiko?

Ein bekanntes Beispiel ist Log4Shell (CVE-2021-44228), ein kritischer Remote-Code-Ausführung Eine Sicherheitslücke in der Apache Log4j Java-Logging-Bibliothek ermöglichte es Angreifern, die Anwendung zum Laden und Ausführen von angreiferkontrolliertem Code zu veranlassen, indem sie eine speziell präparierte Zeichenkette sendeten, die Log4j auflöste (oft über protokollierte Eingaben).

Was gilt als häufige Schwachstelle und Gefährdung?

Eine CVE wird vergeben, wenn eine eindeutige, sicherheitsrelevante Schwachstelle vorliegt, die klar beschrieben und als eigenständiges Problem verfolgt werden kann. Typischerweise handelt es sich dabei um einen Fehler in einem bestimmten Produkt/einer bestimmten Codebasis, der ausgenutzt werden kann, um negative Auswirkungen zu verursachen (z. B. durch …). Vertraulichkeit, Integrität oder VerfügbarkeitCNAs sind berechtigt, CVE-IDs für Schwachstellen innerhalb ihres definierten Geltungsbereichs zu vergeben und diese mit der ersten öffentlichen Bekanntmachung zu veröffentlichen.

In der Praxis gilt ein Problem im Allgemeinen als relevant, wenn es alle diese Bedingungen erfüllt:

Es handelt sich um eine identifizierbare Schwachstelle (und nicht um eine vage Problemklasse).
Es sind genügend Informationen vorhanden, um eine aussagekräftige Beschreibung zu verfassen und auf maßgebliche Quellen zu verweisen.
Es besteht den Aufnahmeentscheidungsprozess der CNA (andernfalls könnte es als nicht qualifiziert oder fehlerhaft gemeldet abgelehnt werden).

Common Vulnerability Scoring System (CVSS)

Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard zur einheitlichen Beschreibung des technischen Schweregrades einer Schwachstelle und zur Vergabe eines numerischen Wertes von 0.0 bis 10.0, der häufig Bezeichnungen wie z. B. zugeordnet wird. Niedrig/Mittel/Hoch/KritischEs soll Teams dabei helfen, Schwachstellen anhand desselben Maßstabs zu vergleichen, aber es ist nicht dasselbe wie Risiko, denn Risiko hängt von Ihrer Umgebung, der Gefährdung und den Auswirkungen auf das Geschäft ab.

CVSS funktioniert, indem es Werte für eine definierte Menge von Metriken auswählt und diese zu einem Score kombiniert. In CVSS v3.x sind die Metriken in Basis-, Zeit- und Umgebungsmetriken unterteilt. In CVSS v4.0 heißen die Gruppen Basis, Bedrohung, Umgebung und Ergänzung, was eine klarere Trennung zwischen „intrinsischer Schwere“, „sich im Laufe der Zeit verändernden Faktoren“ und „Ihrem lokalen Kontext“ widerspiegelt.

Wie werden CVEs identifiziert?

CVEs werden durch einen koordinierten Prozess identifiziert, bei dem ein tatsächlicher Schwachstellenbericht geprüft und anschließend eine eindeutige CVE-ID von einer autorisierten Organisation, sodass alle einheitlich auf dasselbe Thema Bezug nehmen können. So erkennen Sie es:

Eine Schwachstelle wird entdeckt und dem betroffenen Anbieter oder einer CVE Numbering Authority (CNA) (einer Organisation, die zur Vergabe von CVE-IDs berechtigt ist) gemeldet.
Die CNA validiert und grenzt das Problem ein, bestätigt, dass es sich um eine eindeutige Schwachstelle handelt, und sammelt genügend Details, um es zu beschreiben und auf zuverlässige Referenzen zu verlinken.
Eine CVE-ID wird reserviert/zugewiesen (z. B. CVE-2026-12345). Dadurch entsteht eine stabile Kennung, die Tools, Empfehlungen und Tickets verwenden können, auch wenn die Details noch finalisiert werden.
Der CVE-Eintrag wird veröffentlicht, sobald die CNA den Eintrag (Beschreibung + Referenzen) ausfüllt und ihn damit von einem „RESERVIERT“-Status in einen öffentlichen Eintrag in der CVE-Liste ändert.
Falls sich herausstellt, dass das Problem nicht die Kriterien erfüllt oder aus anderen Gründen zurückgezogen wird, kann der Eintrag als ABGELEHNT gekennzeichnet werden, anstatt ihn als gültigen CVE zu veröffentlichen.

Die Vorteile und Grenzen von CVE

CVE vereinfacht die Nachverfolgung und Kommunikation von Schwachstellen, indem jedem Problem eine einheitliche ID zugewiesen wird, auf die Tools, Anbieter und Sicherheitsteams gleichermaßen zugreifen können. Gleichzeitig ist CVE lediglich ein Identifizierungssystem und garantiert daher keine vollständige Abdeckung, bietet keine Lösung und spiegelt nicht das tatsächliche Risiko einer Schwachstelle in Ihrer spezifischen Umgebung wider.

Gemeinsame Schwachstellen und Risiken – Vorteile

CVE bietet eine einheitliche Methode zur Referenzierung von Schwachstellen, wodurch Mehrdeutigkeiten reduziert und die Sicherheitsarbeit hersteller-, tool- und teamübergreifend beschleunigt wird. Zu den wichtigsten Vorteilen gehören:

Standardisierte Namensgebung im gesamten Ökosystem. Eine einzige CVE-ID verhindert Verwirrung durch unterschiedliche Herstellernamen oder mehrere Berichte über dasselbe Problem und sorgt so für einheitliche Kommunikation und Berichterstattung.
Einfachere Nachverfolgung von der Entdeckung bis zur Behebung. CVE-IDs dienen als dauerhafte Kennungen, die Sie in Tickets, Patch-Notes und Audits verwenden können, um ein Problem von der Untersuchung über die Behebung bis zur Verifizierung zu verfolgen.
Arbeitsumgebungen Interoperabilität zwischen Sicherheitstools. Scanner, SIEM/SOAR-Plattformen, CMDBs und Schwachstellendatenbanken können alle über dieselbe CVE-ID identifiziert werden, was die Korrelation verbessert und Doppelarbeit reduziert.
Schnellere Erkennung und Koordination von Schwachstellen. Öffentliche Warnungen, Exploit-Beschreibungen und Herstellermitteilungen können über den CVE-Eintrag verknüpft werden, was Teams hilft, schnell Kontext zu erfassen, ohne mehreren Namensschemata nachgehen zu müssen.
Klarere Nachweise zur Einhaltung der Vorschriften und zu Prüfungen. Wenn Richtlinien die Nachverfolgung bekannter Schwachstellen erfordern, bieten CVEs eine anerkannte Referenz, die eine einheitliche Berichterstattung und Dokumentation unterstützt.
Zuverlässigere Priorisierungseingaben in Kombination mit Bewertungskriterien und Kontext. Mithilfe von CVE-IDs können Sie Daten wie CVSS, Exploit-Aktivitäten, Asset-Exploitation und Geschäftskritikalität verknüpfen, was die Priorisierung von Abhilfemaßnahmen strukturierter macht.

Häufige Schwachstellen und Gefährdungsbegrenzungen

CVE ist zwar wertvoll für die Identifizierung und Koordination von Risiken, hat aber Grenzen, die bei der Priorisierung und dem Management realer Risiken relevant sind. Die häufigsten Einschränkungen sind:

CVE ist ein Identifizierungssystem, keine Risikobewertung. Ein CVE-Eintrag sagt Ihnen nicht, wie dringlich er für Ihre Umgebung ist; Sie benötigen weiterhin Kontextinformationen wie Gefährdung, kompensierende Kontrollmaßnahmen und geschäftliche Auswirkungen (oft zusammen mit CVSS und Bedrohungsdaten).
Versicherungsschutz ist nicht garantiert. Nicht jedes Sicherheitsproblem erhält eine CVE-Nummer, insbesondere produktspezifische Schwachstellen, die nicht öffentlich bekannt gegeben werden, Probleme außerhalb des CNA-Geltungsbereichs oder Sicherheitslücken, die die Zuweisungskriterien nicht erfüllen.
Die Detailgenauigkeit der Aufzeichnungen kann minimal oder ungleichmäßig sein. Manche CVE-Beschreibungen und -Referenzen sind kurz gefasst, und die Tiefe/Qualität der Informationen variiert je nach Anbieter oder CNA, was die Folgenabschätzung erschweren kann.
CVE-Einträge enthalten standardmäßig keine Korrekturen. Der CVE-Link verweist möglicherweise auf Sicherheitswarnungen, aber die Verfügbarkeit von Patches, Maßnahmen zur Risikominderung und Workarounds stammen von Herstellern und anderen Quellen, nicht jedoch vom CVE-System selbst.
Die Zeitmessung kann der realen Aktivität hinterherhinken. Eine Sicherheitslücke könnte bereits in freier Wildbahn ausgenutzt werden, bevor eine CVE veröffentlicht wird, oder eine CVE könnte lange vor der Verfügbarkeit vollständiger Details reserviert werden, wodurch Lücken für die Verteidiger entstehen.
Die Granularität von CVEs entspricht nicht immer der Art und Weise, wie Sie Patches erstellen. Eine einzelne CVE kann viele Versionen/Produkte betreffen, und manche Korrekturen beheben mehrere CVEs gleichzeitig, daher ist die Zuordnung „CVE → Patch-Aktion“ nicht immer eins zu eins.

CVE-FAQ

Hier finden Sie Antworten auf die am häufigsten gestellten Fragen zu CVE.

CVE vs. CWE

Aspekt	CVE (Häufige Schwachstellen und Gefährdungen)	CWE (Common Weakness Enumeration)
Was es darstellt	Eine konkrete, in der realen Welt vorhandene Schwachstelle in einem Produkt oder System.	Eine allgemeine Kategorie von Schwächen im Software- oder Hardware-Design oder in der Implementierung.
Abstraktionsebene	Konkret und instanzbasiert.	Abstrakt und kategorienbasiert.
Eine typische Frage, die es beantwortet	„Um welche Schwachstelle handelt es sich genau?“	„Welche Art von Fehler hat diese Sicherheitslücke verursacht?“
Kennungsformat	CVE-YYYY-NNNNN	CWE-NNN
Geltungsbereich	Eine eindeutige Sicherheitslücke in einem bestimmten Produkt/einer bestimmten Version.	Ein wiederkehrendes Schwächemuster, das bei vielen Produkten auftreten kann.
Zugeteilt von	CVE-Nummerierungsstellen (CNAs).	Betreut und kuratiert von MITRE.
Ändert sich mit der Zeit	Statisch, sobald veröffentlicht (kann aktualisiert oder abgelehnt werden, bezieht sich aber immer noch auf dasselbe Problem).	Die Taxonomie entwickelt sich weiter, da neue Schwächentypen hinzugefügt oder verfeinert werden.
Wird am häufigsten verwendet für	Schwachstellenverfolgung, Patching, Scannen, Compliance, Reaktion auf Sicherheitsvorfälle.	Sicheres Design, Code-Review, statische Analyse, Entwicklerschulung.
Beziehung zwischen ihnen	Eine CVE kann einer oder mehreren CWEs zugeordnet werden, um ihre Ursache zu erklären.	Ein CWE kann mit vielen CVEs verknüpft sein, die dieselbe zugrunde liegende Schwäche aufweisen.
Beispiel	CVE-2021-44228 (Log4Shell).	CWE-502 (Deserialisierung nicht vertrauenswürdiger Daten).

Wer ist für die Bearbeitung von CVEs zuständig?

CVEs werden über das CVE-Programm verwaltet, das vom CVE-Board beaufsichtigt und vom CVE-Sekretariat (derzeit die MITRE Corporation) im Tagesgeschäft geführt wird. In der Praxis werden die meisten CVE-IDs und -Einträge von einem globalen Netzwerk von CVE-Nummerierungsstellen (CNAs) erstellt, typischerweise von Anbietern und Sicherheitsorganisationen, die zur Vergabe von CVE-IDs innerhalb eines definierten Geltungsbereichs berechtigt sind. Das Board ist für die Programmsteuerung zuständig, während das Sekretariat Betrieb, Qualitätssicherung und Koordination unterstützt.

Wie häufig werden CVEs aktualisiert und veröffentlicht?

CVEs werden nicht wöchentlich oder monatlich veröffentlicht. Sie erscheinen fortlaufend, sobald die CVE-Nummerierungsstellen (CNAs) die Einträge in der offiziellen CVE-Liste abgeschlossen und freigegeben haben. Einzelne CVE-Einträge können jederzeit aktualisiert werden, sobald neue Details oder Referenzen verfügbar sind. Die US-amerikanische Nationale Schwachstellendatenbank (NVD) prüft die CVE-Liste stündlich, um neue Veröffentlichungen, Ablehnungen und Änderungen zu erfassen (die zusätzlichen Analysen der NVD, wie Bewertung und Anreicherung, werden jedoch möglicherweise erst später angezeigt).

Sind CVE-Daten kostenlos?

Ja. CVE-Daten sind kostenlos und öffentlich zugänglich. Das CVE-Programm stellt die offizielle CVE-Liste ohne Lizenzgebühren oder Nutzungsbeschränkungen zur Verfügung, sodass Organisationen, Sicherheitsanbieter, Forscher und Einzelpersonen CVE-IDs und -Einträge in Tools, Berichten und Diensten verwenden können. Einige Drittanbieter-Datenbanken erheben möglicherweise Gebühren für weiterführende Analysen (wie Anreicherung, Priorisierung oder Dashboards), die zugrunde liegenden CVE-Daten selbst sind jedoch offen.