IT-Security-Glossar
Die wichtigsten Abkürzungen aus Schwachstellen-Management und EU-Cybersicherheitsregulierung - klar definiert, mit Quellen und Querverweisen.
Schwachstellen & Kennungen
Wie Sicherheitslücken benannt und klassifiziert werden.
- CVECommon Vulnerabilities and Exposures
CVE ist ein international anerkannter Katalog für öffentlich bekannte IT-Schwachstellen. Jeder Eintrag erhält eine eindeutige ID im Format CVE-JAHR-NUMMER.
- CWECommon Weakness Enumeration
CWE ist eine standardisierte Liste von Schwachstellentypen wie SQL-Injection oder Pufferüberlauf. Während CVE einzelne Schwachstellen benennt, beschreibt CWE deren Ursache.
Bewertung & Priorisierung
Wie die Schwere und Dringlichkeit einer Schwachstelle eingeschätzt wird.
- CVSSCommon Vulnerability Scoring System
CVSS ist ein offener Standard, um die technische Schwere einer IT-Schwachstelle als Zahl von 0,0 bis 10,0 auszudrücken. Die aktuelle Version ist CVSS v4.0.
- KEVKnown Exploited Vulnerabilities
Der KEV-Katalog der US-Behörde CISA listet Schwachstellen, die nachweislich aktiv ausgenutzt werden. Er ist das wichtigste Signal für „jetzt sofort patchen“.
Transparenz & Lieferkette
Formate, die Schwachstellen-Informationen maschinenlesbar machen.
- SBOMSoftware Bill of Materials
Eine SBOM ist eine maschinenlesbare Stückliste aller Komponenten einer Software - inklusive Open-Source-Bibliotheken. Sie ist Pflichtbestandteil des Cyber Resilience Act.
- CSAFCommon Security Advisory Framework
CSAF ist ein OASIS-Standard für maschinenlesbare Sicherheits-Advisories im JSON-Format. Er ist die zentrale Grundlage für automatisiertes Schwachstellen-Management nach BSI TR-03183.
Organisation & Prozesse
Wer beim Hersteller für Schwachstellen verantwortlich ist.