CVE - Common Vulnerabilities and Exposures
öffentlich katalogisierte IT-Schwachstellen
Was bedeutet CVE?
CVE (Common Vulnerabilities and Exposures) ist ein vom MITRE-Konzern in den USA betriebenes Identifikationssystem für öffentlich bekannte Sicherheitslücken in Software und Hardware. Jede gemeldete und verifizierte Schwachstelle erhält eine eindeutige Kennung nach dem Muster CVE-JAHR-NUMMER (z. B. CVE-2024-3094). Das System wird seit 1999 gepflegt und ist heute der De-facto-Standard, auf den sich Hersteller, Sicherheitsforscher, Behörden und Tools weltweit beziehen.
Wozu dient eine CVE-ID?
Die CVE-ID stellt sicher, dass alle Beteiligten - Hersteller, IT-Abteilungen, Schwachstellenscanner, Patch-Management und Behörden - über dieselbe Schwachstelle sprechen. Ohne eine einheitliche Kennung wäre es kaum möglich zu erkennen, dass eine Hersteller-Meldung, ein Scanner-Befund und eine Behörden-Warnung dieselbe Lücke meinen.
Wer vergibt CVE-IDs?
Vergeben werden CVE-IDs von sogenannten CVE Numbering Authorities (CNAs). Dazu zählen MITRE selbst, große Hersteller wie Microsoft, Red Hat, Cisco und Oracle, aber auch nationale CERTs. In Deutschland tritt das BSI als CNA auf.
CVE im Kontext von NIS2 und CRA
NIS2 und der Cyber Resilience Act (CRA) schreiben Herstellern vor, aktiv ausgenutzte Schwachstellen schnell an die zuständigen Behörden zu melden. CVE-IDs sind dabei der übliche Weg, eine Schwachstelle eindeutig zu bezeichnen.
Auch bekannt als
CVE-ID · CVE-Nummer