Thought Leadership
Die US-Sicherheitsbehörde CISA optimiert die Erfassung aktiver Cyberbedrohungen. Ein neues Web-Formular beschleunigt das Melden ausgenutzter Schwachstellen.
Die Cybersecurity and Infrastructure Security Agency, kurz CISA, eine zentrale Bundesbehörde des Ministeriums für Inlandssicherheit der Vereinigten Staaten, hat am Donnerstag die offizielle Freigabe eines neuen digitalen Meldeformulars bekannt gegeben. Das webbasierte Werkzeug soll den gesamten Prozess zur Einreichung, Überprüfung und Validierung von neu entdeckten Sicherheitslücken für den bekannten Known Exploited Vulnerabilities-Katalog, bekannter unter der Abkürzung KEV, maßgeblich beschleunigen und vereinfachen.
Das übergeordnete Ziel dieser administrativen und technischen Modernisierung besteht darin, IT-Sicherheitsforschern, Herstellern, Verteidigern und betroffenen Organisationen eine standardisierte Plattform zur Verfügung zu stellen. Über diese Plattform können kritische Bedrohungsinformationen zu Softwarefehlern, die nachweislich bereits von Cyberkriminellen oder staatlichen Akteuren im Internet ausgenutzt werden, ohne bürokratische Verzögerungen geteilt werden. Durch eine Beschleunigung der internen Abläufe soll die globale Reaktionsfähigkeit von Unternehmen und staatlichen Einrichtungen auf akute Cyberbedrohungen verbessert werden.
Beschleunigung der Schadensanalyse und administrative Modernisierung
Das neu gestaltete Verfahren zur Nominierung von Schwachstellen wurde speziell entwickelt, um die Bearbeitungszeit von eingehenden Berichten drastisch zu senken und gleichzeitig die Qualität der anschließenden Bedrohungsanalyse zu steigern. In der Vergangenheit führte die unstrukturierte Übermittlung von Daten über verschiedene Kommunikationskanäle oft zu zeitintensiven Rückfragen durch die behördlichen Analysten.
Chris Butera, der amtierende stellvertretende Exekutivdirektor für Cybersicherheit bei der CISA, hob die strategische Bedeutung der koordinierten Zusammenarbeit hervor. Er erklärte im Rahmen der Vorstellung des Werkzeugs wortwörtlich: Frühzeitige Erkennung und koordinierte Offenlegung von Schwachstellen gehören zu den wirksamsten Werkzeugen, die wir haben, um Risiken in großem Maße zu reduzieren. Durch die unmittelbare Erfassung valider Bedrohungsdaten über das Portal wird die Behörde in die Lage versetzt, Warnmeldungen schneller zu verifizieren und die gewonnenen Erkenntnisse zeitnah mit der weltweiten IT-Sicherheitsgemeinschaft zu teilen.
CISA fordert Mindestdaten: CVE-ID und Sicherheitsupdate
Das webbasierte Meldesystem folgt einer klaren Logik und erfordert von den einreichenden Parteien die Bereitstellung spezifischer technischer Mindestdaten, bevor eine Schwachstelle für eine Aufnahme in das offizielle KEV-Register in Betracht gezogen werden kann. Zu den zwingenden Voraussetzungen gehört die Existenz einer gültigen Kennung im System der Common Vulnerabilities and Exposures, eine sogenannte CVE-ID. Meldungen ohne eine solche standardisierte Identifikationsnummer können über das System nicht final eingereicht werden. Des Weiteren muss der Einreichende eindeutige Beweise erbringen, dass die Sicherheitslücke in realen Angriffsszenarien aktiv ausgenutzt wird oder in der Vergangenheit ausgenutzt wurde. Eine bloße theoretische Verwundbarkeit oder ein Konzept-Exploit reichen für die KEV-Aufnahme nicht aus.
Als dritte Kernkomponente verlangt das Formular die Angabe von klaren und umsetzbaren Anweisungen zur Schadensminderung, wie etwa den Verweis auf ein bereitgestelltes Sicherheitsupdate des Softwareherstellers oder dokumentierte Konfigurationsänderungen. Nach einer kurzen Einführung führt das System den Nutzer durch eine Reihe von gezielten Ja-Nein-Fragen, um den potenziellen Einfluss der Schwachstelle zu präzisieren, beispielsweise ob der Fehler herstellerübergreifend auftritt. Anschließend folgt die Aufforderung, Links zu Patches und die Belege für die Ausnutzung zu hinterlegen. Der traditionelle Meldeweg über die E-Mail-Adresse [email protected] bleibt parallel dazu als alternative Option bestehen.
KEV-Katalog listet realen Missbrauch mit Patch-Pflicht
Die CISA ist seit November 2021 für die Pflege und regelmäßige Aktualisierung des KEV-Katalogs verantwortlich. Das Register startete ursprünglich mit einem Kernbestand von rund 300 Sicherheitslücken, deren Dokumentationshistorie bis in das Jahr 2002 zurückreichten. Durch die kontinuierliche Zusammenarbeit mit der weltweiten Sicherheitsgemeinschaft und der IT-Industrie ist die Anzahl der erfassten und aktiv ausgenutzten Schwachstellen bis zum Dezember 2025 auf weit über 1500 Einträge angewachsen.
Der Katalog unterscheidet sich von gewöhnlichen Schwachstellendatenbanken dadurch, dass er ausschließlich Fehler listet, bei denen ein realer Missbrauch durch Angreifer zweifelsfrei verifiziert wurde. Im Mai 2022 erließ die Behörde zudem eine verbindliche operative Richtlinie, welche zivile Bundesbehörden der Vereinigten Staaten dazu verpflichtet, die im KEV-Katalog aufgeführten Lücken innerhalb strenger Fristen durch Patches zu schließen. Diese regulatorische Vorgabe hat dazu geführt, dass das Register weltweit auch von privaten Unternehmen als primärer Maßstab für die Dringlichkeit von Software-Updates herangezogen wird.
Relevanz für das Schwachstellenmanagement im Enterprise Sektor
Die Optimierung des Meldeverfahrens hat direkte Auswirkungen auf die Praxis des Schwachstellenmanagements in modernen Unternehmen und Organisationen der kritischen Infrastruktur. Da IT-Abteilungen täglich mit einer Flut von neuen Sicherheitsmeldungen konfrontiert werden, ist eine fundierte Priorisierung der Update-Prozesse unerlässlich. Die CISA empfiehlt allen Verantwortlichen dringend, den KEV-Katalog als festen Bestandteil in die eigenen Sicherheits-Frameworks zu einzugliedern. Die Schließung von Sicherheitslücken, die nachweislich bereits für Angriffe genutzt werden, reduziert die Angriffsfläche von Unternehmensnetzwerken erheblich.
Angreifer nutzen bevorzugt bekannte und dokumentierte Schwachstellen, da für diese oft funktionierende Schadcodes im Umlauf sind. Das neue Online-Formular trägt somit indirekt dazu bei, das Zeitfenster zwischen der ersten Entdeckung einer aktiven Ausnutzung und der globalen Bereitstellung verifizierter Schutzmaßnahmen für die Wirtschaft zu minimieren.
