Von der Sicherheitslücke zur CVE: So entsteht eine eindeutige Schwachstellen-ID

Jede Sicherheitslücke in Software oder Hardware wird heute über eine CVE-Nummer eindeutig identifiziert. CVE steht für Common Vulnerabilities and Exposures und dient als international anerkannter Standard, um Schwachstellen nachzuverfolgen, zu bewerten und zu beheben. In diesem Artikel erklären wir den Lebenszyklus einer CVE, wie die Nummern aufgebaut sind und welche Rollen Organisationen wie CNA und MITRE dabei spielen.

Aufbau einer CVE-Nummer

Eine CVE-Nummer hat das folgende Format: CVE-JJJJ-NNNNN

• CVE – Präfix, steht immer für Common Vulnerabilities and Exposures.

• JJJJ – Jahr der Vergabe oder der Bekanntgabe der Schwachstelle.

• NNNNN – Fortlaufende, eindeutige Nummer. Früher vierstellig, heute mindestens fünfstellig.

Beispiel: CVE-2025-12345

• 2025 → Jahr der Vergabe

• 12345 → eindeutige ID dieser Schwachstelle in diesem Jahr

Wer vergibt CVE-Nummern?

Die Zuweisung der CVE-Nummern erfolgt über autorisierte Organisationen, die CVE Numbering Authorities (CNAs) genannt werden. Dazu gehören:

• Softwarehersteller (z. B. Microsoft, Cisco, Oracle)

• CERTs oder nationale Sicherheitsorganisationen

Die CNAs prüfen entdeckte Schwachstellen, vergeben eine eindeutige CVE-ID und melden diese an MITRE.

MITRE ist die zentrale Organisation, die das CVE-System verwaltet. Sie koordiniert die CNAs, pflegt die öffentliche Datenbank und sorgt dafür, dass jede CVE-Nummer weltweit eindeutig ist.

Der Lebenszyklus einer CVE

Die Erstellung einer CVE durchläuft mehrere Schritte, die wir in der folgenden Abbildung zusammengefasst haben:

Erläuterung der Schritte:

1. Discovery of Vulnerability: Eine Schwachstelle wird von einem Sicherheitsforscher, Hersteller oder IT-Team entdeckt.

2. Report to CNA (CVE Numbering Authority): Die Schwachstelle wird an eine autorisierte CNA gemeldet, die für die Prüfung zuständig ist.

3. CNA assigns CVE ID: Die CNA prüft die Schwachstelle, verifiziert die betroffenen Produkte und Versionen und vergibt eine eindeutige CVE-ID.

4. Submit to MITRE: Die CNA meldet die CVE an MITRE, wo sie in die zentrale CVE-Datenbank aufgenommen wird.

5. Publication: Die CVE wird veröffentlicht. Sicherheitsforscher, Unternehmen und Scanner-Lösungen (wie Nessus oder Tenable.io) können die Schwachstelle nachverfolgen und Maßnahmen einleiten.

Warum CVEs wichtig sind

• Eindeutige Identifikation: Jede Schwachstelle hat eine unverwechselbare ID.

• Transparenz: Hersteller und Sicherheitsforscher arbeiten weltweit mit derselben Nummer.

• Automatisierung: Tools wie Tenable.io oder Nessus nutzen CVEs, um Schwachstellen in IT- und OT-Umgebungen automatisch zu erkennen.

• Compliance: Viele Sicherheitsstandards und Audits beziehen sich auf bekannte CVEs.

Fazit

CVE-Nummern sind das Rückgrat moderner Schwachstellenverwaltung. Dank CNAs und MITRE kann eine Sicherheitslücke schnell eindeutig identifiziert und weltweit kommuniziert werden – und das alles, bevor Angreifer sie ausnutzen können.

Mit unserem Diagramm zum CVE-Lebenszyklus haben Sie einen schnellen visuellen Überblick, wie eine Schwachstelle vom Entdecken bis zur Veröffentlichung gelangt.