Kurzfassung
CVE (Common Vulnerabilities and Exposures) ist ein öffentlich gepflegtes Verzeichnis bekannter Sicherheitslücken, das jeder Schwachstelle eine eindeutige Kennung zuweist und so eine einheitliche Kommunikation zwischen Tools und Organisationen ermöglicht.
Was ist CVE?
CVE ist ein Programm, das von der MITRE Corporation betrieben und vom US-Heimatschutzministerium finanziert wird. Jeder Eintrag erhält eine eindeutige ID im Format CVE-JAHR-NUMMER, eine kurze Beschreibung sowie Verweise auf Advisories und Patches.
Das System stellt eine gemeinsame Sprache für Sicherheitslücken bereit, die von Scannern, Patch-Management-Tools und Schwachstellen-Datenbanken einheitlich referenziert wird. Die National Vulnerability Database (NVD), gepflegt von NIST, ergänzt CVE-Einträge mit CVSS-Scores zur Priorisierung.
Für Unternehmen ist die CVE-Kennung der Ausgangspunkt jeder strukturierten Schwachstellenbehebung: Sie verbindet Scan-Ergebnisse, Ticket-Systeme und Compliance-Nachweise miteinander.
Warum ist CVE relevant?
- Standardisierung: Eine einheitliche Kennung ermöglicht die eindeutige Kommunikation über Schwachstellen zwischen Teams, Tools und Anbietern
- Priorisierung: CVSS-Scores helfen dabei, kritische Lücken zuerst zu schließen
- Compliance: Viele regulatorische Anforderungen verlangen die Nachverfolgung und Behebung bekannter CVEs innerhalb definierter Fristen
- Automatisierung: Security-Pipelines können Software-Komponenten mit bekannten CVEs automatisch blockieren oder kennzeichnen