Was ist eine CVE?
CVE (Common Vulnerabilities and Exposures) ist eine eindeutige, standardisierte Kennung für bekannte Sicherheitslücken in Software und Hardware. Eine CVE-Nummer (z. B. CVE-2024-21762) bezeichnet genau eine Schwachstelle und wird von CNA (CVE Numbering Authorities) vergeben. Advisories, Scanner und Patch-Management beziehen sich darauf, um Betroffenheit und Fix-Versionen zu kommunizieren.
Was ist eine Schwachstelle (Vulnerability)?
Eine Schwachstelle (Vulnerability) ist ein Fehler oder eine fehlerhafte Konfiguration in Software, Hardware oder Prozessen, die von Angreifern ausgenutzt werden kann – z. B. um unbefugt Zugriff zu erlangen, Daten zu lesen oder Code auszuführen. Nicht jede Schwachstelle hat eine CVE; CVEs betreffen in der Regel bekannte, öffentlich dokumentierte Lücken.
Relevanz für Patch- und Vulnerability Management
Bei einer neuen CVE-Meldung prüfen Unternehmen: Sind wir betroffen? (Version, Konfiguration, Exposition.) Dann folgen Priorisierung (Kritikalität, CVSS-Score, Ausnutzbarkeit) und zeitnahe Behebung – z. B. über Patch-Management oder Vulnerability Management. Exposure Management hilft, exponierte Systeme zu identifizieren, die zuerst gepatcht werden müssen.
Weitere Begriffe
- CVSS (Score): Bewertung der Schwere einer Schwachstelle (z. B. 0–10).
- Advisory / Security Bulletin: Hersteller-Mitteilung zu einer Schwachstelle inkl. betroffener Versionen und Fix.
- Zero-Day: Schwachstelle, die dem Hersteller noch unbekannt oder ungepatcht ist – keine CVE bis zur Offenlegung.
Kurz gesagt
CVE ist die standardisierte Kennung für bekannte Sicherheitslücken; „Schwachstelle“ der allgemeine Begriff. CVEs sind die Referenz für Advisories, Scanner und strukturiertes Patch- und Vulnerability Management.