Nein, die Existenz einer CVE garantiert nicht, dass ein Patch verfügbar ist. Eine CVE kann veröffentlicht werden, bevor ein Hersteller einen Patch entwickelt hat, oder sogar in Fällen, in denen kein Patch geplant ist (z. B. für veraltete oder nicht mehr gewartete Software). In diesen Situationen müssen Benutzer Workarounds implementieren oder bestimmte anfällige Funktionen deaktivieren.
Es ist daher wichtig, nicht nur die CVEs zu konsultieren, sondern auch die Empfehlungen der Hersteller und Datenbanken wie die NVD oder die KEV-Datenbank zu prüfen, die angeben können, ob ein Patch existiert und in welchen Zeiträumen er erwartet wird. Ein gutes Risikomanagement berücksichtigt sowohl die Schwere des Fehlers als auch die Verfügbarkeit von Lösungen.
Die von der CISA veröffentlichte KEV-Liste (Known Exploited Vulnerabilities) listet aktiv ausgenutzte Schwachstellen auf, d. h. solche, die bereits in realen Cyberangriffen eingesetzt werden. Ziel dieser Liste ist es, Organisationen bei der Priorisierung ihrer Korrekturmaßnahmen zu unterstützen, indem sie sich auf die Schwachstellen konzentrieren, die eine unmittelbare Bedrohung darstellen.
Mit der Veröffentlichung dieser Liste stellt die CISA ein sehr konkretes Instrument für das Risikomanagement zur Verfügung: Sie weist nicht nur auf bekannte Schwachstellen hin, sondern auch auf die kritischsten und dringendsten. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb strenger Fristen obligatorisch. Aber über die USA hinaus wird die KEV-Liste von Cybersicherheitsexperten auf der ganzen Welt konsultiert, um ihre Patch-Management-Strategie auszurichten.
Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.
Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.