Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Schwachstellen-Management mit Single Point of Failure? : Wie das CVE-Programm ins Wanken geriet und was das für die Zukunft der Schwachstellen-Erkennung bedeutet

Wohl die meisten etablierten Prozesse rund um das Schwachstellen-Management nutzen das Common-Vulnerabilities-and-Exposures-(CVE)-Programm der MITRE Corporation – viele dürften zumindest zum großen Teil darauf aufbauen. Was wäre, wenn diese wichtige Resource plötzlich ausfiele? Wären wesentliche Sicherheitsmechanismen dann noch einsatzbereit? Ein Beinahe-Black-out im April sollte der Security-Community zu denken geben, mahnt unser Autor.

Peter MachatBedrohungenManagement und WissenSchwachstellen-Management
Lesezeit 5 Min.

Angesichts wachsender regulatorischer Anforderungen, der zunehmenden Komplexität globaler Software-Lieferketten und immer kürzerer Reaktionszeiten auf Sicherheitslücken steht das Schwachstellenmanagement stärker im Fokus denn je. Umso alarmierender wirkte eine Entwicklung im Frühjahr 2025: Am 15. April warnte MITRE, Betreiber des weltweit zentralen CVEProgramms (Common Vulnerabilities and Exposures, https://cve.org), in einem Schreiben an das CVE-Board vor einer drohenden Unterbrechung des Betriebs [1] aufgrund einer auslaufenden Förderung durch US-Behörden. Erst eine kurzfristige Verlängerung der Finanzierung am Abend desselben Tages konnte den Fortbestand sichern.

Dieser Vorfall unterstreicht die strukturelle Abhängigkeit moderner IT-Sicherheitsprozesse von einem einzigen Referenzsystem – eine Reuters-Meldung zitierte einen ungenannten Cyber-Experten, der die Unterbrechung des CVE-Programms mit dem plötzlichen Löschen aller Wörterbücher einer Sprache verglich [2].

Die globale IT-Sicherheitsarchitektur stützt sich tatsächlich in hohem Maße auf den CVE-Katalog – sowohl zur Identifikation von Bedrohungen als auch zur Koordination von Reaktionen. Dass bereits Unsicherheiten im administrativen Betrieb der Plattform weitreichende Konsequenzen haben können, zeigt, wie fragil zentrale Infrastruktur geworden ist. In diesem Lichte stellt sich auch die Frage, ob das klassische Modell der Schwachstellenerkennung den heutigen Herausforderungen überhaupt noch gewachsen ist.

Lokale Konsequenzen

Der Zwischenfall um das CVE-Programm hat gezeigt, wie angreifbar etablierte Sicherheitsstrukturen sein können – und wie groß die Abhängigkeit vieler Unternehmen von einer einzigen Instanz tatsächlich ist. Für Sicherheitsverantwortliche ergibt sich daraus eine klare Handlungsaufforderung, die eigenen Prozesse zur Bedrohungserkennung, Bewertung und Reaktion systematisch auf ihre Robustheit hin zu überprüfen.

Abhängigkeit vom CVE-System reduzieren: Man sollte zunächst analysieren, in welchem Maße bestehende Workflows direkt oder indirekt auf CVE-Kennungen basieren. Wird dabei eine kritische Abhängigkeit festgestellt, sollten gezielt alternative Informationsquellen integriert werden – etwa branchenspezifische CERTMeldungen, Security-Advisories relevanter Anbieter oder Open-Source-Datenbanken. Diese sollten organisatorisch so eingebunden werden, dass Ausfälle einzelner Quellen keine Unterbrechung im Erkennungs- und Reaktionsprozess verursachen.

Ergänzende Frühwarnmechanismen etablieren: Frühwarnsysteme sollten auf mehreren unabhängigen Datenquellen basieren und sowohl interne als auch externe Signale einbeziehen. Dazu zählen beispielsweise automatisierte Log-Analysen, verhaltensbasierte Anomalieerkennung, Analyse ungewöhnlicher Netzwerkverbindungen und die Auswertung von Threat-Intelligence-(TI)-Feeds. Wichtig ist, dass diese Informationen in klar definierte interne Abläufe einfließen, die zeitnahe Entscheidungen und Maßnahmen ermöglichen.

Echtzeit-Bedrohungserfassung strategisch verankern: Jeder* Sicherheitsverantwortliche sollte prüfen, ob bestehende Systeme in der Lage sind, sicherheitsrelevante Auffälligkeiten zeitnah zu identifizieren und zu bewerten. Wo dies nicht der Fall ist, sollte man Prozesse schaffen, die verdächtige Ereignisse automatisiert in einen strukturierten Analyse- und Eskalationspfad überführen – unabhängig von bestimmten Produkten oder Plattformen. Dies kann durch die Kombination verschiedener Sensoren, SIEM- oder SOAR-Mechanismen sowie manueller Prüfprozesse erfolgen.

Asset-Management priorisieren: Eine genaue Klassifikation aller Assets nach technischer Relevanz, Impact auf das Geschäft sowie hinsichtlich potenzieller Angriffsflächen ist Voraussetzung für eine wirksame Priorisierung. Nur so lässt sich sicherstellen, dass besonders schützenswerte Systeme im Fokus der Abwehrmaßnahmen stehen.

Letztlich geht es nicht um den Ersatz eines bestehenden Standards, sondern um den Aufbau strategischer Redundanzen. Ziel ist ein Sicherheitskonzept, das auch bei lückenhafter Datenlage belastbare Entscheidungen ermöglicht, Abhängigkeiten reduziert und als fortlaufender, adaptiver Prozess gedacht ist.

(Auch) Jenseits von CVE denken

Dass das CVE-Programm für viele zentrale Funktionen unersetzlich scheint, ist unbestritten. Es strukturiert die Veröffentlichung von Schwachstellen, unterstützt die internationale Koordination zwischen Forschung, Herstellern sowie Incident-Response-Teams und bildet die Basis für viele nationale Datenbanken und automatisierte Workflows. Doch diese Abhängigkeit birgt auch Risiken: etwa dann, wenn die Plattform ins Stocken gerät oder nicht alle Schwachstellen erfasst werden – womöglich bei spezialisierten oder nicht-verwalteten Geräten in kritischen Infrastrukturen.

Hier zeigt sich eine Notwendigkeit, Schwachstellenerkennung neu zu denken: Unternehmen sollten sich nicht ausschließlich auf veröffentlichte CVEs verlassen, sondern zusätzliche Informationsquellen heranziehen. Dazu zählen beispielsweise Telemetrie aus realen Vorfällen, Darknet-Recherchen, Anomalieerkennung und verhaltensbasierte Analysen. Auch KI-gestützte Verfahren und Community-basierte Frühwarnmechanismen gewinnen an Bedeutung – nicht als Ersatz für bestehende Modelle, sondern als Ergänzung, die Resilienz schafft oder dort einspringt, wo zentrale Bewertungssysteme allein nicht (mehr) ausreichen.

Ein prägnantes Beispiel dafür ist die Fähigkeit, Bedrohungen schon vor ihrer offiziellen Katalogisierung zu identifizieren: In komplexen IT-Umgebungen mit schwer einsehbaren Systemkategorien oder bei neuartigen Angriffstechniken stoßen klassische Disclosure-Prozesse schnell an ihre Grenzen. Kontinuierliches Monitoring, die Auswertung verhaltensbasierter Signale und der Einsatz von Threat-Intelligence-Feeds ermöglichen dann eine risikoorientierte Früherkennung – unabhängig von der Vergabe einer Referenznummer.

Vorausschauendes Handeln bedeutet in diesem Kontext, verdächtige Muster frühzeitig zu analysieren, Abwehrmaßnahmen proaktiv zu aktualisieren, interne Alarmierungs- und Eskalationsprozesse vorzubereiten und Sicherheitsrichtlinien regelmäßig an neue Erkenntnisse anzupassen.

Vorausschauendes Handeln braucht Struktur

Das CVE-Programm bleibt eine tragende Säule moderner IT-Sicherheit – doch es ist weder unfehlbar noch immer schnell genug, um den heutigen Anforderungen gerecht zu werden. Wer sich allein auf veröffentlichte Schwachstellen verlässt, riskiert blinde Flecken und verzögerte Reaktionen.

Wer vorausschauend handeln will, muss daher ergänzende Informationsquellen aktiv einbinden – etwa durch verhaltensbasierte Anomalieerkennung, systemeigene Telemetriedaten, externe Threat-Intelligence-Feeds oder Hinweise aus der Sicherheits-Community. Diese Daten müssen nicht nur gesammelt, sondern auch systematisch priorisiert und in einen strukturierten Entscheidungsprozess überführt werden.

Konkret helfen dabei mehrere Schritte:

  • ein klar definierter Prozess zur Risikobewertung, der technische Schwachstellen mit der geschäftlichen Relevanz betroffener Assets verknüpft
  • eine regelmäßige, automatisierte Sicht auf Netzwerkaktivitäten und ungewöhnliche Verhaltensmuster, um auch unbekannte oder noch nicht klassifizierte Bedrohungen zu erkennen
  • eine flexible Sicherheitsarchitektur, die nicht auf ein einzelnes Referenzsystem angewiesen ist, sondern unterschiedliche Quellen und Methoden integriert

Ergänzend können simulationsbasierte Übungen, interne Red-Teaming-Ansätze oder Szenarienplanung helfen, bestehende Abhängigkeiten zu identifizieren und Schwachstellen auch jenseits offizieller CVE-Listen sichtbar zu machen.

Vorausschauendes Handeln ist damit kein einmaliger Impuls, sondern ein kontinuierlicher Prozess, der technische, organisatorische und strategische Ebenen verbindet – und so die Grundlage für resiliente Cybersicherheit schafft.

Fazit

Die Zukunft der Cybersicherheit liegt in der Widerstandsfähigkeit. Dafür braucht es ein Sicherheitskonzept, das so dynamisch und vernetzt ist wie die Bedrohungen selbst – und das über klassische Kennziffern wie CVEs hinausgeht.

Konkret heißt das: jegliche Abhängigkeiten regelmäßig hinterfragen, alternative Informationsquellen einbinden, Erkennungs- und Reaktionsprozesse laufend anpassen und Assets nach Kritikalität priorisieren.

Jetzt ist der richtige Zeitpunkt, um die eigene Sicherheitsstrategie auf den Prüfstand zu stellen – und aktiv die Voraussetzungen für eine robuste Verteidigung zu schaffen.

Peter Machat ist Senior Director EMEA Central bei Armis

Literatur

[1] David DiMolfetta, MITRE-backed cyber vulnerability program to lose funding Wednesday, Nextgov/FCW, April 2025, www.nextgov.com/cybersecurity/2025/04/mitre-backed-cyber-vulnerabilityprogram-lose-funding-wednesday/404585/

[2] A. J. Vicens, Raphael Satter, US funding running out for critical cyber vulnerability database, manager says, Reuters, April 2025, www.reuters.com/technology/us-funding-running-out-critical-cyber-vulnerability-database-manager-says-2025-04-15/

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.