Die von der CISA veröffentlichte KEV-Liste (Known Exploited Vulnerabilities) listet aktiv ausgenutzte Schwachstellen auf, d. h. solche, die bereits in realen Cyberangriffen eingesetzt werden. Ziel dieser Liste ist es, Organisationen bei der Priorisierung ihrer Korrekturmaßnahmen zu unterstützen, indem sie sich auf die Schwachstellen konzentrieren, die eine unmittelbare Bedrohung darstellen.
Mit der Veröffentlichung dieser Liste stellt die CISA ein sehr konkretes Instrument für das Risikomanagement zur Verfügung: Sie weist nicht nur auf bekannte Schwachstellen hin, sondern auch auf die kritischsten und dringendsten. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb strenger Fristen obligatorisch. Aber über die USA hinaus wird die KEV-Liste von Cybersicherheitsexperten auf der ganzen Welt konsultiert, um ihre Patch-Management-Strategie auszurichten.
EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.
Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.
CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).
Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.
Die von MITRE verwaltete Webseite cve.org ist die offizielle Quelle für CVE-Kennungen. Sie ist unerlässlich, um die Einzigartigkeit und Struktur der Einträge zu gewährleisten. cve.org konzentriert sich jedoch auf den administrativen Aspekt und bietet weder EPSS-Scores noch Exploit-Indikatoren oder erweiterte Sortierfunktionen.
Unser Service CVE Find übernimmt diese offiziellen Daten, reichert sie mit zusätzlichen Metriken (KEV, EPSS, CVSS) an und präsentiert sie in einer moderneren, schnelleren und filterbaren Oberfläche. Es ist somit ein praktisches Überwachungstool, das für den operativen und täglichen Entscheidungsgebrauch konzipiert ist.
Die Sensibilisierung zielt darauf ab, eine allgemeine Sicherheitskultur zu verbreiten, die für alle Mitarbeiter zugänglich ist, unabhängig von ihrem Beruf oder ihrem technischen Niveau. Sie umfasst konkrete Themen: Phishing, Passwörter, Mobilität, soziale Netzwerke, Wachsamkeit im Homeoffice usw. Ziel ist es, jeden zu einem Akteur der Sicherheit in seinen täglichen Gewohnheiten zu machen.
Die technische Schulung hingegen richtet sich an spezialisiertere Profile (IT-Teams, Entwickler, Administratoren) und befasst sich mit spezifischen Kompetenzen wie der Härtung von Systemen, der sicheren Entwicklung oder dem Incident Management. Sie erfordert oft Vorkenntnisse und zielt darauf ab, die Sicherheit durch technische Beherrschung zu stärken.
Der Hauptunterschied zwischen Black Box-, Gray Box- und White Box-Tests liegt im Informationsgrad, der dem Tester vor Beginn des simulierten Angriffs zur Verfügung gestellt wird.
Jeder Ansatz hat seine Vorteile, und die Wahl hängt von den Zielen des Tests und dem abzudeckenden Risikograd ab.
Ein Schwachstellenscan ist eine automatisierte Analyse, die von einem Tool durchgeführt wird, das ein System oder eine Anwendung auf bekannte Schwachstellen untersucht, in der Regel durch den Vergleich von Softwareversionen oder durch das Testen von Konfigurationen. Er ist schnell, kostengünstig, liefert aber oft rohe oder unvollständige Ergebnisse mit falsch positiven Befunden.
Ein Pentest hingegen geht über die Erkennung hinaus: Er versucht, die Schwachstellen tatsächlich auszunutzen, um ihre konkreten Auswirkungen zu demonstrieren. Es handelt sich um einen manuellen und methodischen Prozess, der die erkannten Schwachstellen validiert, neue identifiziert und realistische Angriffsszenarien liefert. Der Pentest ist daher viel gründlicher und kontextbezogener, erfordert aber Zeit, Fachwissen und Planung.
Eine CVE (Common Vulnerabilities and Exposures) ist eine Sicherheitslücke, die bereits identifiziert, dokumentiert und in einer offiziellen Datenbank veröffentlicht wurde. Sie ist der Öffentlichkeit bekannt und in der Regel sind Patches in Arbeit oder bereits verfügbar. Im Gegensatz dazu ist eine Zero-Day-Schwachstelle eine noch nicht offengelegte Schwachstelle, die zum Zeitpunkt ihrer Entdeckung noch nicht in einer CVE registriert ist.
Mit anderen Worten: Jede Zero-Day-Schwachstelle kann zu einer CVE werden, aber nicht jede CVE ist eine Zero-Day-Schwachstelle. Das größte Risiko einer Zero-Day-Schwachstelle besteht darin, dass sie ausgenutzt werden kann, bevor sie überhaupt gemeldet wird, während eine CVE per Definition eine Schwachstelle ist, die sich in der Bearbeitungs- oder Korrekturphase befindet.
Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.
Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.
Die CISA (Cybersecurity and Infrastructure Security Agency) ist eine US-amerikanische Regierungsbehörde. Sie ist für den Schutz kritischer Infrastrukturen der Vereinigten Staaten vor Cyber- und physischen Bedrohungen zuständig, indem sie Behörden, Unternehmen und der Öffentlichkeit Unterstützung, Tools und Empfehlungen bietet.
Im Bereich der Cybersecurity fungiert die CISA als Koordinierungsstelle, um Cyberangriffe zu verhindern, auf Vorfälle zu reagieren, Informationen über Bedrohungen auszutauschen und Best Practices für die Sicherheit zu fördern. Obwohl sie eine amerikanische Behörde ist, beeinflussen ihre Rolle und ihre Ressourcen die Cybersecurity-Praktiken weltweit aufgrund ihrer Transparenz und Führungsrolle.
Ein Web-Audit umfasst die eingehende Analyse der Schwachstellen einer Website oder Online-Anwendung: Penetrationstests, Überprüfung des Quellcodes, Serverkonfigurationen usw.
Es handelt sich um eine Diagnose der Architektur und der Konfigurationen Ihrer Infrastruktur (Router, Firewalls, Switches usw.), um eventuelle Sicherheitslücken oder Engpässe zu identifizieren.
Ein Penetrationstest, oder Pentest, ist eine Sicherheitsbewertung, bei der ein realer Angriff auf ein IT-System, ein Netzwerk oder eine Anwendung simuliert wird, um ausnutzbare Schwachstellen zu identifizieren. Ziel ist es, Schwachstellen zu erkennen, bevor ein Angreifer sie entdeckt, und konkrete Empfehlungen zur Verbesserung der Sicherheit zu geben.
Im Gegensatz zu rein dokumentarischen Audits basiert der Pentest auf offensiven Techniken, die denen von Hackern ähneln. Dies kann die Ausnutzung von Softwarefehlern, die Kompromittierung von Konten oder das Überwinden von Firewalls umfassen. Er wird oft zusätzlich zu einem automatisierten Scan durchgeführt, um nicht nur das Vorhandensein von Schwachstellen zu bewerten, sondern auch deren tatsächliche Ausnutzbarkeit im Zielkontext.
Eine CVE (Common Vulnerabilities and Exposures) ist eine eindeutige Kennung, die einer bekannten Schwachstelle in einem Computersystem, einer Software oder Hardware zugewiesen wird. Sie dient dazu, eine Schwachstelle präzise zu benennen und zu verfolgen, auch wenn sie von verschiedenen Anbietern, Tools oder Datenbanken behandelt wird. Jede CVE folgt dem Format CVE-Jahr-Nummer, wie beispielsweise CVE-2023-12345.
Der Zweck von CVEs ist die Vereinheitlichung der Kommunikation über Sicherheitslücken: Anstatt variable Beschreibungen zu verwenden, können sich alle Beteiligten auf dieselbe Kennung beziehen. Dies erleichtert die Koordination zwischen Forschern, Softwareherstellern, Sicherheitsteams und Anbietern von Sicherheitslösungen.
Eine CWE (Common Weakness Enumeration) ist eine standardisierte Klassifizierung von Schwachstellen, die zu Anfälligkeiten in Software, Firmware oder Systemen führen können. Im Gegensatz zu CVEs, die spezifische und dokumentierte Schwachstellen in einem bestimmten Produkt bezeichnen, beschreiben CWEs Arten von Design- oder Programmierfehlern, die die Sicherheit eines Systems beeinträchtigen können.
Beispielsweise kann eine CWE eine fehlerhafte Speicherverwaltung, eine Befehlsinjektion oder eine unzureichende Validierung von Eingaben beschreiben. Diese Schwachstellen können dann in verschiedenen Softwareprodukten erkannt und mit einzelnen CVEs verknüpft werden, wenn sie in einem realen Kontext ausgenutzt werden.