KEV - Known Exploited Vulnerabilities
Katalog aktiv ausgenutzter Schwachstellen (CISA)
Was bedeutet KEV?
KEV (Known Exploited Vulnerabilities Catalog) ist ein von der US-Behörde CISA (Cybersecurity & Infrastructure Security Agency) gepflegter Katalog von Schwachstellen, die nachweislich aktiv angegriffen werden. Eine Schwachstelle wird nur aufgenommen, wenn drei Bedingungen erfüllt sind: Es gibt eine CVE-ID, es liegen zuverlässige Nachweise für aktive Angriffe vor, und es ist bekannt, wie man sich schützen oder die Lücke schließen kann.
Warum der KEV-Katalog so relevant ist
Ein hoher CVSS-Score sagt nur etwas über das theoretische Schadenpotenzial. KEV beantwortet die operativ wichtigere Frage: „Wird die Lücke gerade ausgenutzt?“ Eine Schwachstelle mit CVSS 7 im KEV-Katalog hat in der Regel höhere Priorität als eine mit CVSS 9, für die noch kein Exploit bekannt ist.
Verbindlichkeit
Für US-Bundesbehörden ist der KEV-Katalog über die Binding Operational Directive 22-01 verbindlich - mit festen Patch-Fristen. Auch in Europa nutzen viele Organisationen den KEV-Katalog faktisch als Priorisierungs-Quelle, da CISA die Belege offen dokumentiert.
Ergänzung durch EPSS
EPSS (Exploit Prediction Scoring System) schätzt die Wahrscheinlichkeit, dass eine Schwachstelle in den nächsten 30 Tagen ausgenutzt wird. Die Kombination aus CVSS, KEV und EPSS ergibt eine deutlich belastbarere Priorisierung als CVSS allein.
Auch bekannt als
CISA KEV · KEV-Katalog