Thought Leadership
Sicherheitslücken in Software sind allgegenwärtig. Doch wie behalten Administratoren, Entwickler und Sicherheitsforscher den Überblick über Tausende von Schwachstellen? Die Antwort lautet: CVE.
Wer sich mit IT-Sicherheit beschäftigt, stößt unweigerlich auf Bezeichnungen wie CVE-2024-1234 oder CVE-2023-56789. Hinter diesen kryptischen Kennungen verbirgt sich ein System, das die Kommunikation über Sicherheitslücken weltweit standardisiert hat. Doch was genau bedeutet diese Abkürzung, wer vergibt diese Nummern und warum ist das Nummerierungssystem so wichtig geworden?
CVE: Die Geburtsstunde eines Standards
CVE steht für Common Vulnerabilities and Exposures, auf Deutsch etwa “Gemeinsame Schwachstellen und Expositionen”. Das System wurde 1999 von der MITRE Corporation ins Leben gerufen, einer amerikanischen Non-Profit-Organisation, die im Auftrag der US-Regierung arbeitet. Die Finanzierung erfolgt durch die Cybersecurity and Infrastructure Security Agency (CISA), eine Behörde des US-Heimatschutzministeriums.
Die Grundidee war ebenso simpel wie genial: Jede öffentlich bekannte Sicherheitslücke erhält eine eindeutige Kennung. Vor der Einführung dieses Identifikationssystems herrschte im Bereich der IT-Sicherheit oft Verwirrung, da verschiedene Organisationen unterschiedliche Namen für dieselben Schwachstellen verwendeten. Ein Sicherheitsexperte sprach von “der Apache-Lücke”, ein anderer von “dem OpenSSL-Problem”, und niemand war sich sicher, ob es sich um dasselbe handelte.
Aufbau einer Vulnerability-ID
Eine solche Kennung folgt einem klaren Schema: CVE-JAHR-NUMMER. Die Jahreszahl gibt dabei das Jahr an, in dem die Identifier vergeben wurde – nicht unbedingt das Jahr, in dem die Schwachstelle entdeckt oder öffentlich wurde. Die nachfolgende Nummer wird fortlaufend vergeben, wobei ursprünglich vierstellige Nummern verwendet wurden. Aufgrund der stetig wachsenden Anzahl von Sicherheitslücken können diese Kennungen mittlerweile auch fünf- oder mehrstellig sein.
Ein Beispiel: CVE-2021-44228 bezeichnet die berüchtigte Log4Shell-Schwachstelle in der Java-Bibliothek Log4j, die Ende 2021 für erhebliche Unruhe in der IT-Welt sorgte. Die Nummer wurde 2021 vergeben und war die 44.228ste Vulnerability-ID dieses Jahres.
Das CVE-Ökosystem: CNAs und die Vergabe von Kennungen
Das Standardsystem hat sich im Laufe der Jahre erheblich weiterentwickelt. Ursprünglich war MITRE allein für die Vergabe der Identifikatoren zuständig. Heute gibt es ein Netzwerk von CVE Numbering Authorities (CNAs) – über 300 Organisationen weltweit, die berechtigt sind, entsprechende IDs zu vergeben. Zu den CNAs gehören große Software-Hersteller wie Microsoft, Apple, Google und Oracle, aber auch Sicherheitsforscher-Organisationen und nationale CERT-Teams.
Dieses dezentrale Modell beschleunigt den Prozess erheblich. Ein Hersteller kann nun selbst eine Kennung für eine Schwachstelle in seiner eigenen Software vergeben, sobald er diese identifiziert hat. Das reduziert Verzögerungen und ermöglicht eine schnellere Reaktion auf Sicherheitsbedrohungen.
Was eine Vulnerability-Kennung aussagt und was nicht
Eine solche Nummer identifiziert lediglich eine Schwachstelle eindeutig. Sie sagt zunächst nichts über deren Schweregrad, Ausnutzbarkeit oder potenzielle Auswirkungen aus. Dafür gibt es ergänzende Bewertungssysteme wie das Common Vulnerability Scoring System (CVSS), das Sicherheitslücken auf einer Skala von 0 bis 10 bewertet, wobei 10 für kritische Schwachstellen steht.
Zu jedem Eintrag gehört eine Beschreibung der Schwachstelle, Informationen über betroffene Software-Versionen und häufig auch Referenzen zu weiterführenden Informationen, Patches oder Workarounds. Diese Informationen werden in der zentralen Datenbank gesammelt, die öffentlich zugänglich ist und von verschiedenen Organisationen gespiegelt wird.
Die National Vulnerability Database als Ergänzung
Während die Vulnerability-Liste von MITRE verwaltet wird, pflegt das National Institute of Standards and Technology (NIST) in den USA die National Vulnerability Database (NVD). Die NVD reichert Einträge mit zusätzlichen Informationen an, darunter CVSS-Scores, Informationen über betroffene Konfigurationen und Links zu verfügbaren Patches. Für IT-Sicherheitsverantwortliche ist die NVD oft die erste Anlaufstelle, um sich über eine neu entdeckte Schwachstelle zu informieren.
Kritik und Herausforderungen
Trotz seiner weiten Verbreitung steht das Nummerierungssystem auch vor Herausforderungen. Die schiere Menge an vergebenen Kennungen wächst exponentiell: Wurden 2015 noch etwa 6.500 IDs vergeben, waren es 2023 bereits über 29.000. Diese Flut macht es schwierig, wirklich kritische Schwachstellen von weniger relevanten zu unterscheiden.
Ein weiteres Problem ist die unterschiedliche Qualität der Datensätze. Manche CNAs liefern detaillierte, präzise Beschreibungen, während andere nur rudimentäre Informationen bereitstellen. Zudem kommt es gelegentlich vor, dass Vulnerability-IDs für vermeintliche Schwachstellen vergeben werden, die sich später als nicht existent oder irrelevant herausstellen.
Die Abhängigkeit von US-amerikanischen Institutionen wird ebenfalls diskutiert. Einige Länder und Organisationen arbeiten an alternativen oder ergänzenden Systemen, um ihre Souveränität in Sicherheitsfragen zu wahren.
Praktische Bedeutung für IT-Profis
Für Systemadministratoren und IT-Sicherheitsverantwortliche sind diese Identifikatoren unverzichtbar geworden. Vulnerability-Scanner referenzieren die Kennungen, Patch-Management-Systeme organisieren Updates anhand der IDs, und Sicherheitswarnungen von Herstellern enthalten entsprechende Referenzen. Wer ein Schwachstellenmanagement betreibt, kommt am System nicht vorbei.
Moderne Security Information and Event Management (SIEM) Systeme, Intrusion Detection Systeme und Penetrationstests nutzen die Vulnerability-Datenbanken, um bekannte Angriffsvektoren zu identifizieren. Compliance-Frameworks wie ISO 27001 oder Branchenstandards wie PCI DSS verlangen oft den Nachweis, dass bekannte Schwachstellen zeitnah gepatcht wurden.
Die Zukunft des Standards
Das Programm entwickelt sich kontinuierlich weiter. Mit Version 5.0 wurde 2023 ein neues JSON-basiertes Format eingeführt, das eine maschinenlesbare, strukturiertere Erfassung von Schwachstelleninformationen ermöglicht. Dies soll die Automatisierung im Schwachstellenmanagement verbessern und die Integration in verschiedene Sicherheitstools erleichtern.
Die zunehmende Vernetzung und die wachsende Komplexität von Software lassen erwarten, dass die Zahl der Vulnerability-Identifier weiter steigen wird. Gleichzeitig arbeiten Forscher an Methoden, um durch maschinelles Lernen und künstliche Intelligenz Schwachstellen automatisch zu erkennen und zu klassifizieren, was das Nummerierungssystem sowohl vor neue Herausforderungen stellen als auch bereichern könnte.
Fazit
Das CVE-System hat sich als unverzichtbarer Standard etabliert, der die Kommunikation über Sicherheitslücken weltweit vereinheitlicht. Trotz mancher Schwächen bietet dieser Ansatz eine gemeinsame Sprache für Hersteller, Sicherheitsforscher, Administratoren und Anwender. In einer Zeit, in der Cyberangriffe immer raffinierter werden und die Angriffsfläche durch Cloud-Computing, IoT und komplexe Lieferketten ständig wächst, bleibt das Identifikationssystem ein wichtiger Baustein für die IT-Sicherheit. Die eindeutige Kennzeichnung von Schwachstellen mag unspektakulär erscheinen, ist aber die Grundlage für effektives Patch-Management und damit für die Sicherheit digitaler Infrastrukturen.
