CVE

Definition CVE 

CVE ist eine Liste, die seit 1999 von der MITRE Corporation geführt wird und öffentlich bekannte Sicherheitslücken und Schwachstellen in Software und Firmware katalogisiert. Das Besondere an CVE ist, dass es Unternehmen und Cybersicherheitsexperten weltweit eine standardisierte und transparente Referenz zur Verbesserung ihrer Sicherheitspraktiken bietet. Jede Schwachstelle erhält eine eindeutige CVE-ID, die es ermöglicht, Schwachstellen plattform- und toolübergreifend eindeutig zu identifizieren und zu diskutieren.

Neue CVE-IDs werden von CVE Numbering Authorities (CNAs) vergeben – autorisierten Organisationen wie Softwareanbietern oder Forschungseinrichtungen, die neue Schwachstellen überprüfen, kennzeichnen und bei MITRE registrieren. Dieses System stellt sicher, dass es keine Duplikate gibt und dass Schwachstellen weltweit einheitlich und nachvollziehbar sind. Die CVE-Liste dient somit als zentrale Ressource für die Benennung von Schwachstellen, die Entwicklung von Lösungen und die Erhöhung des allgemeinen Sicherheitsniveaus in der digitalen Welt.

Wie definiert CVE Schwachstellen?

Um CVE zu verstehen, ist es wichtig zu wissen, wie es Schwachstellen definiert, daher hier ein kurzer Überblick:

• Schwächen im Code, Design oder in der Konfiguration: Eine Schwachstelle ist ein Fehler oder eine Schwäche im Design, in der Implementierung oder in der Konfiguration einer Systemkomponente.
• Ausnutzbar durch Angreifer: Eine solche Schwachstelle kann potenziell von Hackern ausgenutzt werden, um sich unbefugten Zugriff zu verschaffen, bösartigen Code auszuführen, Berechtigungen zu erweitern oder andere schädliche Auswirkungen zu verursachen.
• Negative Auswirkungen: Die Ausnutzung einer Schwachstelle kann zum Verlust der Vertraulichkeit (unbefugter Zugriff auf sensible Informationen), der Integrität (unbefugte Änderung oder Zerstörung von Daten) oder der Verfügbarkeit (Unterbrechung oder Verweigerung des Dienstes) führen.
• Unabhängige Behebbarkeit: Damit ein Problem für einen CVE-Eintrag in Frage kommt, muss es unabhängig behebbar sein, d. h. die Schwachstelle kann behoben werden, ohne dass Änderungen an nicht damit verbundenen Systemkomponenten erforderlich sind.
• Produktbezogener Ansatz: Eine Schwachstelle sollte idealerweise auf eine einzelne Codebasis oder Produktversion beschränkt sein. Wenn derselbe Fehler in mehreren Produkten oder Codebasen auftritt, erhält jedes betroffene Produkt oder jede betroffene Codebasis in der Regel einen separaten CVE-Eintrag.
• Eindeutige Kennung: Jeder CVE-Eintrag erhält eine eindeutige Kennung (CVE-ID), um eine standardisierte Verfolgung, Diskussion und Verwaltung über verschiedene Organisationen und Sicherheitstools hinweg zu ermöglichen.

Schwachstellen vs. Risiken

Während Schwachstellen bestimmte Fehler oder Schwächen in Software, Hardware oder Konfigurationen darstellen (zum Beispiel ein Fehler im Code, der ausgenutzt werden kann), sind Risiken die möglichen negativen Folgen, die auftreten können, wenn diese Schwachstellen tatsächlich ausgenutzt werden. 

Eine Schwachstelle ist also wie eine unverschlossene Haustür, während das Risiko die Möglichkeit ist, dass jemand diese offene Tür entdeckt und die Gelegenheit nutzt, um einzubrechen. CVEs katalogisieren Schwachstellen und stellen fest, was nicht stimmt oder ungeschützt ist. Bei Risiken geht es dagegen darum, zu erkennen, wie wahrscheinlich es ist, dass jemand eine bestimmte Schwachstelle ausnutzt, und wie viel Schaden dadurch entstehen kann. Schwachstellen sind also das Vorhandensein einer tatsächlichen „Schwäche“, während Risiken die Möglichkeit darstellen, diese Schwäche auszunutzen.

Status von CVE-Einträgen

Hier findest du, drei Status von CVE-Einträgen:

• Reserviert. Der Eintrag wird von CVE-Nummerierungsbehörden verwendet, aber das System hat noch nicht alle Details.
• Umstritten. Interessierte Parteien sind sich noch uneinig, ob der Eintrag als CVE qualifiziert werden kann.
• Abgelehnt. Der Eintrag wurde wegen administrativer Probleme oder falscher Zuordnung zurückgezogen oder abgelehnt.

Anwendungsbeispiele für CVE

Damit du besser verstehst, wie CVE genutzt werden, hier ein paar wichtige CVE-Anwendungsbeispiele:

• Hilft Unternehmen, Sicherheitslücken zu erkennen und zu identifizieren, um ihre Cybersicherheitsmaßnahmen zu verbessern, z. B. damit es nicht zu einem Datenleck kommt und gestohlene Daten im Dark Web landen.
• Wenn man ein Problem über seine ID bezeichnet, minimiert man den Fehleranteil sowohl in der normalen Kommunikation als auch in anderen Schwachstellendatenbanken.
• Unternehmen können schneller reagieren, wenn sie eine Schwachstelle in ihrem System finden, indem sie sich auf die CVE-Kennung beziehen.

Weiterlesen

• Was ist ein Zero-Day-Exploit? Definition und wie du dich schützen kannst
• Was ist Spring4Shell
• Was ist Log4j und was für einen Schaden kann es anrichten?