Zum Inhalt springen
← Glossar

CVE - Common Vulnerabilities and Exposures

öffentlich katalogisierte IT-Schwachstellen

Was bedeutet CVE?

Eine CVE-ID ist eine eindeutige Nummer, die eine konkrete Sicherheitslücke weltweit identifizierbar macht.

CVE (Common Vulnerabilities and Exposures) ist ein internationales, öffentliches Identifikationssystem für Sicherheitslücken, betrieben vom MITRE Corporation (USA). Jede neu entdeckte und verifizierte Schwachstelle in Software oder Hardware erhält eine eindeutige CVE-ID nach dem Nummernschema CVE-YYYY-NNNNN – z.B. CVE-2021-44228 (Log4Shell) oder CVE-2014-0160 (Heartbleed). Seit 1999 ist CVE der globale Standard: Hersteller-Sicherheitshinweise, nationale Behördenwarnungen (BSI, CISA), Scanner-Anbieter und Compliance-Rahmenwerke verwenden ausnahmslos CVE-IDs zur Identifikation. Die ID selbst ist neutral – sie ist nur eine Nummer mit Basisdokumentation. Der Eintrag „CVE-2024-XXXXX" sagt: Eine Schwachstelle existiert, wurde dokumentiert und ist Teil der öffentlichen Sicherheitsdiskussion. Es sagt nicht, wie kritisch, wie weit verbreitet, wie ausnutzbar, oder wie zu beheben – dafür gibt es CVSS (Schwere), KEV (aktive Ausnutzung) und Hersteller-Advisories (Patches).

Wozu braucht man CVE-IDs? Die Kernfunktion

Ohne CVE wäre Sicherheit Chaos.

Stellen Sie sich vor: Ein Hersteller findet eine Lücke und nennt sie „critical auth bug". Ein Security-Forscher veröffentlicht dazu einen PoC und nennt es „bypass-vuln-2024". Ein Scanner-Hersteller hat Daten von ihremeigenen Recherche und nennt es „MS-AUTH-001". Drei verschiedene Namen, aber alle meinen dieselbe Lücke. Mit CVE gibt es nur eine Nummer, die alle verwenden: CVE-2024-XXXXX. Das macht es möglich:

  1. Hersteller-Advisories automatisch mit Scanner-Befunden abzugleichen.
  2. Patch-Management-Tools zu automatisieren – wird CVE-2024-XXXXX gepacht, wissen Sie exakt, welche Systeme betroffen waren.
  3. Compliance zu dokumentieren – „Wir haben CVE-2024-XXXXX bis zum <Datum> gepatched" ist nachvollziehbar.
  4. Bedrohungsintelligenz weltweit auszutauschen – das BSI kann warnen, Microsoft kann berichten, Google kann analysieren – alle über die gleiche CVE-Nummer.

Wie ist eine CVE-ID aufgebaut?

Format: CVE-YYYY-NNNNN wobei YYYY das Jahr der Veröffentlichung ist und NNNNN eine Sequenznummer (5 Ziffern oder mehr).

Beispiele: CVE-2024-1234 (eine der ersten 2024), CVE-2024-55555 (später im Jahr), CVE-2023-44228 (Log4Shell aus 2021, aber 2023 häufig zitiert). Die Nummern sind nicht chronologisch – CVE-Nummern werden vergeben, wenn die Schwachstelle dem CVE-System gemeldet und akzeptiert wird, nicht nach Entdeckungsdatum. Das Jahr bezieht sich auf die Veröffentlichung, nicht die Entdeckung. Eine Lücke, die 2022 entdeckt, aber erst 2024 veröffentlicht wurde, trägt eine CVE-2024-Nummer.

Wer vergibt CVE-IDs und wie lange dauert das?

CVE-IDs werden von CVE Numbering Authorities (CNAs) vergeben. Das sind:

  1. MITRE selbst (als Fallback),
  2. Große Hersteller: Microsoft, Apple, Google, Oracle, Cisco, Red Hat haben jeweils eigene CNA-Status und vergeben CVE-Nummern für ihre Produkte schnell.
  3. Nationale CERTs: Das deutsche BSI ist eine CNA, genauso wie belgisches, französisches, etc.
  4. Sicherheitsforschungs-Organisationen wie Google Project Zero.

Die Vereinbarung: Der Entdecker oder Hersteller meldet eine Lücke bei einer CNA. Diese validiert (handelt es sich wirklich um eine neue, bedeutsame Lücke?) und vergibt dann eine CVE-Nummer. Das kann Stunden bis Tage dauern. Große Hersteller wie Microsoft vergeben CVE-Nummern intern oft vor der öffentlichen Veröffentlichung, um Konsistenz zu gewährleisten.

Im Schnitt: Eine echte, verifizierte Lücke bekommt innerhalb von 1–7 Tagen eine CVE-Nummer.

Was ist NICHT im CVE enthalten?

Wichtig für Ihr Verständnis: CVE ist nur eine ID und Basisdokumentation.

CVE sagt NICHT: wie gefährlich die Lücke ist (das macht CVSS), ob sie aktiv ausgenutzt wird (das macht KEV), wie man sie behebt (das macht der Hersteller-Advisory), oder technische Details (auch meist im Advisory). CVE ist ein Zeiger, ein Katalognummerntext. Im CVE-Eintrag selbst finden Sie meist nur: Titel, Kurzbeschreibung, Datum, Links zu Advisories und zum NVD (National Vulnerability Database). Die ganze Kontextinformation (CVSS-Score, Betroffene Versionen, Patches, Workarounds) steht im Hersteller-Advisory, nicht im CVE selbst.

CVE-Praktische Beispiele

Log4Shell (CVE-2021-44228, Apache Log4j): Entdeckt Sept. 2021, veröffentlicht Dez. 2021. Ein Forscher fand, dass Apache Log4j Remote Code Execution zuließ via manipulierte Log-Nachrichten. Die CVE-ID wurde als Basis verwendet, alle Advisories, Patches und Warnungen bezogen sich drauf. Microsoft Outlook-Lücke (CVE-2023-23397): Microsoft vergibt die Nummer selbst vor der Veröffentlichung, kommuniziert im Patch Tuesday Advisory, Sicherheitstools nutzen die CVE um zu checken, ob Sie betroffen seid. QEMU-Lücke (CVE-2023-2861): Virtualisierungs-Software QEMU, viele Linux-Distributionen betroffen – eine CVE, aber viele Hersteller-Advisories (Red Hat, Ubuntu, Debian, etc.) alle mit der gleichen CVE.

CVE-Nummern in Ihrem IT-Alltag: Patch-Management

Praktisches Szenario Ihrer KMU:

  1. Sie nutzen ein Windows Server Patch-Management-System. Microsoft veröffentlicht Patch Tuesday und gibt 20 neue CVE-Nummern an.
  2. Ihr Scanner (Nessus, Qualys, etc.) checkt Ihre Systeme gegen eine CVE-Datenbank und sagt: „Sie sind betroffen von CVE-2024-1234, CVE-2024-5678".
  3. Sie können jetzt exakt sehen: Welche Server? Welche Software-Versionen?
  4. Sie wissen: Der Patch für CVE-2024-1234 ist in Update KB123456 enthalten.
  5. Sie spielen den Patch ein.
  6. Der Scanner sagt: CVE-2024-1234 = fixed. So funktioniert automatisiertes Patch-Management – und die Basis ist die CVE-Nummer als eindeutige Referenz.

CVE und Regulierung: NIS2, CRA, BSI

NIS2 und der EU Cyber Resilience Act (CRA) verlangen von Herstellern, aktiv ausgenutzte Schwachstellen schnell zu melden. Das geschieht via CVE – „Wir haben CVE-2024-XXXXX gefunden und melden das bis morgen." Das BSI veröffentlicht regelmäßig Exploited Vulnerability Warnings mit CVE-Nummern. Für Sie als KMU bedeutet das: Wenn Sie eine offiziellen Warnung vom BSI erhalten, enthält sie eine CVE-Nummer, und Sie können damit automatisiert in Ihrem Patch-System checken, ob Sie betroffen sind. ISO 27001 und andere Standards verlangen Dokumentation von Schwachstellen – CVE-Nummern sind das Standard-Dokumentationsmittel.

Beispiel: „2024-06-15: CVE-2024-12345 gescannt, nicht betroffen (Komponente nicht im Einsatz)".

Häufige Verwirrung: CVE, CWE, CVSS, KEV – Unterschiede

CVE = WAS ist die Lücke? Die eindeutige Identifikation.

Beispiel: CVE-2024-1234 = eine spezifische Lücke in Apache Tomcat 9.0.56. CWE = WARUM ist die Lücke da? Der Schwachstellentyp.

Beispiel: CWE-79 = Cross-Site Scripting (XSS). Ein CVE kann mehrere CWEs haben. CVSS = WIE SCHWERWIEGEND ist sie? Die Bewertung 0–10.

Beispiel: CVSS 7.5 = High. KEV = WIRD SIE AUSGENUTZT? Der Katalog aktiv ausgenutzter Lücken.

Beispiel: Ja, CVE-2024-1234 ist im CISA KEV-Katalog = wird aktiv ausgenutzt.

Zusammenhang: CVE-2024-1234 (WHAT) ist CWE-79 (WHY) mit CVSS 7.5 (SEVERITY) und ist im KEV (ACTIVELY EXPLOITED).

Praxis-Tool

Prüfe, wie dein Unternehmen mit CVEs und Patch-Management umgeht

Zum IT-Sicherheits-Audit

Auch bekannt als

CVE-ID · CVE-Nummer

Häufige Fragen zu CVE

Wie lange dauert es, bis eine Schwachstelle eine CVE-ID bekommt?

In der Regel 1–7 Tage ab Meldung an eine CVE Numbering Authority (CNA). Große Hersteller wie Microsoft vergeben CVE-Nummern intern schnell. Wenn Sie einen Bug entdecken und melden, dauert es je nach CNA-Auslastung unterschiedlich lange. Keine garantierte Frist.

Kann ich mehrere CVE-Nummern für einen Bug haben?

Sehr selten. Eine CVE ist eine eindeutige Identifikation. Falls der Bug sich aber in mehreren unabhängigen Produktlinien manifestiert oder verschiedene Mechanismen nutzt, können mehrere CVEs vergeben werden. Normale Regel: Ein Bug = eine CVE.

Wer kann eine CVE-ID beantragen?

Nur CVE Numbering Authorities (CNAs). Das sind MITRE, große Hersteller (Microsoft, Google, Red Hat), nationale CERTs (BSI für Deutschland) und Sicherheits-Organisationen. Sie melden einen Bug der nächsten CNA oder dem Hersteller, dieser vergeibt die CVE.

Was ist der Unterschied zwischen CVE und CWE?

CVE = WAS/WELCHE Schwachstelle (CVE-2024-1234 = spezifische Lücke in Produkt X). CWE = WARUM/WELCHER TYP (CWE-79 = Cross-Site Scripting). Ein CVE kann mehrere CWEs haben. Beispiel: CVE-2024-1234 ist ein CWE-79 XSS-Bug.

Gibt es einen CVE für jeden Bug?

Nein. Nicht jeder Bug wird öffentlich gemacht oder als Sicherheitslücke klassifiziert. Nur Bugs, die real exploitierbar sind und öffentlich dokumentiert werden, bekommen eine CVE. Interne Bugs ohne Sicherheitsimpact bekommen keine CVE.

Kann ich einen CVE selbst in der Datenbank hinzufügen?

Nein. Nur CVE Numbering Authorities können CVEs vergeben. Sie können einen Bug an CVE.org, MITRE, den Hersteller oder Ihr nationales CERT melden – diese vergeben dann eine CVE-Nummer.

Was bedeutet es, wenn eine CVE "RESERVED" ist?

Ein RESERVED-Status bedeutet: Eine CVE-Nummer wurde reserviert, aber es gibt noch keine öffentliche Information. Das passiert oft, wenn ein Sicherheitsforscher den Bug verantwortungsvoll offenlegt und die CNA die Nummer vorhält, bis der Patch bereit ist.