:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Common Vulnerabilities and Exposures Die CVE-Auflistung bekannter Sicherheitslücken
Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Sicherlich haben Sie schon mal in einer Sicherheitswarnung einen Hinweis in der Art „CVE-2018-0001“ gesehen. Zumindest bei jeder größeren, öffentlich bekannten Schwachstelle sollte ein CVE-Verweis (im Folgenden kurz: CVE) mit angegeben sein.
Das Kürzel steht für Common Vulnerabilities and Exposures und ist ein Industriestandard zur Benennung öffentlich bekannter Sicherheitslücken. Das System wurde bereits 1999 eingeführt, um Schwachstellen eindeutig benennen und somit auch Doppelungen vermeiden zu können. CVEs haben dabei nicht nur für Entwickler, Hacker und Institutionen der Cybersicherheit enorme Bedeutung – auch Verbraucher kommen indirekt damit in Kontakt.
Beispielsweise hat der Verbraucherschutz NRW in 2017 einen Händler abgemahnt, der ein Smartphone mit bekannten, nicht behobenen Sicherheitslücken im Angebot hatte, welches vom Hersteller nicht mehr mit Patches versorgt wurde. Ausschlaggebend für die Argumentation waren auch hier CVEs.
Über CVEs gibt es also auch einen gewissen Druck auf die Hersteller der betroffenen Produkte, zumal die aufgegriffenen Anfälligkeiten eben öffentlich sind. Nicht behobene Schwachstellen, die als CVE veröffentlicht wurden, sind entsprechend Glücksfälle für Cyber-Kriminelle. Das Kürzel CVE beschreibt also wie erwähnt sowohl Industriestandard als auch Namenskonvention, impliziert aber ebenso die vollständige Liste aller einzelnen CVEs.
Die Schwachstellen-Auflistung ist in großen Teilen ein Community-Projekt, dahinter steckt jedoch die MITRE Organization. Diese US-amerikanische Non-Profit-Organisation kümmert sich im Wesentlichen um Forschungsfinanzierungen und wird staatlich finanziert. MITRE stellt Informationen und Webseiten zur Verfügung, pflegt die CVE-Liste und agiert als Root CNA (CVE Numbering Authority). Mehr dazu später.
Eng mit dem Projekt verbunden ist auch die U.S. National Vulnerabilities Database (NVD), die 2005 vom National Institute for Standards and Technology (NIST) gegründet wurde. Die NVD speist sich aus der CVE-Liste und stellt erweiterte Informationen sowie Suchmöglichkeiten zur Verfügung.
Wie sieht ein CVE-Eintrag aus?
In der freien Wildbahn sieht man meist nur die CVE ID, bestehend aus der Jahreszahl gefolgt von einer fortlaufenden Identifikationsnummer. CVEs haben aber natürlich noch weitere Einträge, hier mal ein vollständiges Beispiel aus der MITRE-Dokumentation:
[CVEID]: CVE-2016-123455
[PRODUCT]: BIGCOMPANYSOFT SOFTWARE PRODUCT
[VERSION]: All versions prior to version 2.5
[PROBLEMTYPE]: Arbitrary Code Execution
[REFERENCES]: http://bigcompanysoft.com/vuln/v1232.html
[DESCRIPTION]: CoreGraphics in BIGCOMPANYSOFT SOFTWARE PRODUCT before 2.5 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted BMP image.
[ASSIGNINGCNA]: BigCompanySoft 
Alle Informationen sind grundsätzlich auf Englisch gehalten. Neben der CVE-Nummer gibt es hier detailliertere Informationen zum betroffenen Produkt und genauere Ausführungen zum Problem. Auch Referenzen sind in jedem CVE-Eintrag zu finden. Wie genau CVEs in der Praxis aussehen, können Sie direkt in der NVD nachschauen.
CVE ist also ein eindeutiger Bezeichner für eine einzelne Schwachstelle/Enthüllung, eine Namenskonvention, eine simple Liste (keine Datenbank), Basis für die Evaluation von Services, Tools und Datenbanken, frei für Jedermann nutzbar und ein Industriestandard, der natürlich auch entsprechende Prozesse voraussetzt.
Wie entstehen CVEs?
Damit eine entdeckte Lücke zur CVE wird, muss eine CVE ID beantragt werden. Grundsätzlich gibt es zwei Wege: Einerseits lassen sich Anträge öffentlich direkt bei der MITRE stellen, andererseits gibt es speziell für öffentliche (!) Probleme bei Open-Source-Software das Distributed-Weakness-Filing-Formular (DWF).
Verantwortlich für die Vergabe sind die bereits erwähnten CNAs, die CVE Numbering Authorities. Die MITRE selbst agiert derzeit als primäre CNA, daneben gibt es Stand 2018 genau 87 Entitäten, die entsprechende Nummern vergeben: 72 IT-Anbieter und -Projekte, sieben IT-Security-Forscher, drei CERTs, zwei Bug-Bounty-Programs sowie DWF und das japanische CERT als Root CNAs.
Aus Deutschland ist beispielsweise SAP mit an Board. Probleme, für die eine bestimmte CNA verantwortlich ist, müssen eben jener Authority gemeldet werden, ansonsten können die obigen Formulare genutzt werden. Die CNA schreibt nach einer Meldung die Beschreibung, fügt Referenzen hinzu und vervollständigt allgemein den CVE-Eintrag.
Dabei bekommen ausschließlich „öffentliche“ Schwachstellen eine CVE ID. Das heißt unter anderem, dass es eine öffentlich zugängliche Website mit Informationen zur Lücke gibt, die die CVE List verlinken kann. Wenn Sie sich mit den Interna von CVE beschäftigen wollen, finden Sie das gesamte CNA-Regelwerk online bei der MITRE.
Was wird zu einer CVE?
Die eben verlinkte Dokumentation der CNA-Regularien gibt auch einen wunderbaren Einblick in die inhaltlichen Entscheidungsprozesse. Dabei helfen zwei Entscheidungsbäume zu erfassen, ob eine CVE ID vergeben wird und um wie viele einzelne CVEs es sich bei einem Report überhaupt handelt. Interessant ist vor allem der erste Baum, der folgende fünf Phasen durchläuft:
- Phase 1: Fällt die Schwachstelle überhaupt in den Zuständigkeitsbereich der CNA? Im Zweifel wird eine Root CNA konsultiert, ansonsten geht es weiter zu …
- Phase 2: Ist die Schwachstelle tatsächlich für die Öffentlichkeit gedacht oder bereits veröffentlicht? Falls ja, geht es weiter.
- Phase 3: Wird die Software vom Kunden installiert und kontrolliert? Spezifische Webseiten, Software-as-a-Service-Lösungen und sonstige Varianten, die unter voller Kontrolle des Anbieters stehen, fallen aus dem CVE-Spektrum heraus. Falls die Software vom Kunden kontrolliert wird oder die Frage nicht klar zu beantworten ist, folgt …
- Phase 4: Ist die Software allgemein verfügbar und lizenziert? Wieder können Produkte herausfallen: Für einzelne Commits, die zwischen Releases existieren, geschlossene Beta-Versionen, Software, die nur in einem bestimmten Unternehmen läuft und explizit für Malware wird keine ID vergeben. Ist die Software jedoch ein verfügbares und lizenziertes Produkt, bleibt noch die letzte Phase, die eines der ursprünglichen Probleme adressiert.
- Phase 5: Gibt es für die Schwachstelle bereits eine CVE ID? Falls nicht, wird diese schlussendlich vergeben.
Wie geht es weiter?
Nun hat also jemand eine Schwachstelle entdeckt und einen Report eingereicht – und schon sind alle Infos online? Natürlich nicht. Wie genau mit gemeldeten Problemen umgegangen wird, liegt auch an der jeweiligen Numbering Authority.
Das US-CERT beispielsweise informiert den betroffenen Software-Anbieter und gibt diesem standardmäßig 45 Tage Zeit für das Bug-Fixing. Erst danach wird die CVE veröffentlicht. Bei besonders dringlichen Fällen, etwa bei bereits laufenden Exploits, kann dieser Zeitraum verkürzt werden. Werden umfangreiche Änderungen beispielsweise an Standards notwendig, kann der Zeitraum auch ausgedehnt werden.
Vorab werden die Informationen bereits mit dem Anbieter und weiteren Betroffenen geteilt. Dies können zum Beispiel Security-Spezialisten sein, Institutionen, die akut von der jeweiligen Schwachstelle betroffen sein könnten und generell jedem, der nach Ansicht des US-CERTs zur Lösung des Problems beitragen könnte. Ganz allgemein behält sich zumindest dieser CNA vor, eingereichte Anträge gar nicht zu veröffentlichen.
Zum Schluss noch ein Blick auf ein paar Zahlen, um ein Gefühl für die Größenordnungen zu bekommen. Die Erfahrung lehrt, dass „Acrobat“ sicherlich ein guter Suchbegriff sein sollte – und in der Tat bringt NVD stattliche 1.145 Treffer zu Tage. Davon 106 am 20. Juli 2018. Die als CSV-Datei bereitgestellte CVE-Liste umfasst über 130.000 Einträge. Darunter sind allerdings auch viele von CNAs reservierte, nicht genutzte IDs.
Die Webseite CVE Details gibt tiefere Einblicke und spricht von insgesamt 105.816 CVEs. Ein Blick auf die Seite lohnt sich, zumal hier auch das Bewertungssystem Common Vulnerability Scoring System (CVSS) Anwendung findet. CVSS-Werte reichen von 0 (keine Bedrohung) bis 10 (kritisch), der Durchschnittswert der CVE List liegt bei 6,6.
Heutzutage werden täglich neue CVE IDs vergeben und es lohnt sich, das Thema zu verfolgen. Bei der Entwicklung lassen sich beispielsweise Sicherheitsrisiken durch Abhängigkeiten von Drittsoftware minimieren. Github etwa hat kürzlich ein Warnsystem eingeführt, welches CVEs berücksichtigt. Auch viele Security-Services, etwa die CERT-BUND-Meldungen, nennen explizit auch die zu einer Warnung bzw. zu einem Produkt gehörenden CVE IDs.
(ID:45468948)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945987/original.jpg "AdaCore hat Version 22 von GNAT Pro Assurance vorgestellt. (AdaCore)")
:quality(80)/images.vogel.de/vogelonline/bdb/1950200/1950260/original.jpg "Für zwei der Sicherheitslücken, die Microsoft zum April-Patchday 2022 schließt, sind Exploits für Windows schon öffentlich bekannt und werden bereits ausgenutzt! (Microsoft)")