Die aktuellen CWE Top 25 helfen den Risiko-Score einer Schwachstelle realistisch einzuschätzen. Sie haben aber noch eine weitere Qualität: Sie erklären beispielsweise wie ein aus mehreren Schwachstellen „zusammengesetzter“ Exploit funktioniert und helfen weitreichende Muster im Softwarelebenszyklus oder Bündelungen von CVEs zu erkennen.
Ein nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären.
Bereits Ende 2019 hat die gemeinnützige MITRE Corporation der US-Industrie die wohl bekannteste Rangliste von Software-Sicherheitsproblemen in der Datenverarbeitung, die „Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Errors“, aktualisiert. Mit dem Update wurde zum einen die zugrunde liegende Methodik verbessert. Zum anderen sollte die Liste für Cybersecurity-Fachleute direkt nutzbringender werden. Die Konzentration auf Klassen von Programmierfehlern ist zwar nicht neu, basiert aber jetzt auf objektiveren Kriterien. Je häufiger eine Schwachstelle vorkommt und je schwerwiegender die potentiellen Auswirkungen, desto höher die CWE-Einstufung. Der große Vorteil des neuen Ansatzes besteht darin, dass die CWE Top 25 jetzt eine Maßeinheit liefern, worauf es tatsächlich ankommt.
Es gibt aber noch einen weiteren interessanten Aspekt der langersehnten Neuauflage von 2019. Die neuen CWE Top 25 könnten längerfristig die Sicht der Branche auf CVEs selbst beeinflussen. Die wurden von MITRE in den 1990er Jahren eingeführt, um Softwareschwachstellen zu identifizieren, als diese zahlenmäßig mehr wurden und deutlich häufiger auftraten. Dieses System dient als eine der wesentlichen Grundlagen für das Verwalten und Patchen von Schwachstellen. Es existiert allerdings weiterhin die Tendenz, Fehler auf CVE-Ebene als voneinander getrennte Einheiten zu betrachten. Wenn man sie mit der CWE-Rangliste in Einklang bringt, die zusätzlich Kausalität und Kritikalität berücksichtigt, lassen sich weitreichende Muster aufdecken. Dadurch können Softwareunternehmen über den gesamten Entwicklungs- und Lebenszyklus hinweg, Sicherheitsentscheidungen besser priorisieren.
Ein weiterer nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären. Ein gutes Beispiel dafür ist die Idee von „Chain und Composites“. Wie der Name schon sagt, handelt es sich bei der Chain um eine Kette in einer Abfolge von Schwachstellen, bei der die erste die Voraussetzungen für nachfolgende(n) Schwachstelle(n) schafft. Ein Composite hingegen ist eine Kombination aus zwei oder mehreren separat auftretenden Schwachstellen, aber zur gleichen Zeit. Ein bekanntes Beispiel aus jüngster Zeit sind Schwachstellen, die bei den Angriffen auf die Pulse Secure-, Fortinet- und Palo Alto-VPN-Server ausgenutzt wurden. Im Fall von Pulse Secure umfasste der Angriff allein 10 CVEs, einschließlich eines CVSS 10 (maximaler Schweregrad) und 9,9, die sich über eine Kette von Softwareschwachstellen verteilten. Offensichtlich eine Schwachstelle, der man Priorität einräumen sollte.
Das Bündeln von CVEs und Schwachstellen ist schon seit einiger Zeit eine übliche Taktik bei hochkarätigen Cyber-Angriffen. Ein prominentes Beispiel ist der berüchtigte EternalBlue MS17-010-Angriff, der drei unterschiedliche Software-Sicherheitsprobleme für die Remote-Codeausführung ausgenutzte. Aufschlussreich ist dabei, dass die Angreifer jede einzelne Komponente brauchten, damit die anderen effektiv oder überhaupt funktionieren. Das enthält für die Abwehr solcher Angriffe einige wichtige Informationen. Natürlich sollte man alle Softwareschwachstellen rechtzeitig patchen. Trotzdem sind moderne Angriffe oftmals nicht mehr zu stoppen, weil sie verschiedene Programmschwachstellen in einer bestimmten Verkettung ausnutzen.
Wie bei seinen Vorgängern kommt das in den CWE Top 25 2019 in den CanPrecede- und CanFollow-Beziehungen zum Ausdruck. Diese ermöglichen es Sicherheitsexperten Abhängigkeiten über CWE-Identifikatoren nachzuverfolgen. Das ist nicht grundsätzlich neu, das überarbeitete Design gestattet es aber, mit häufigen und schwerwiegenden Schwachstellen an der Spitze der Top 25-Liste zu beginnen und diese mit weniger häufigen und weniger schwerwiegenden in Beziehung zu setzen. Eine Verbindung, die man angesichts der reinen Platzierung auf der Liste bisher leicht übersehen konnte. Was die Beziehungen zwischen den Schwachstellenklassen anbelangt, basiert die Rangfolge jetzt auf den Erfahrungen von Sicherheitsteams mit genau dieser Schwachstelle.
So lobenswert die Neuformulierung von 2019 auch ist, die CWE-Top 25 sollten nie das alleinige Kriterium bilden. Die Liste ist eine Ressource, kein Rezept. Je nach Zielumgebung und Art der verwendeten Softwarekomponenten kommt man nicht umhin, die Liste anzupassen. Nicht alle beschriebenen Probleme bei der Softwaresicherheit sind für alle Umgebungen gleichermaßen relevant. Dennoch eignet sich die CWE-Top 25 einen Kontext für die Priorisierung von Softwareschwachstellen wie den CVEs zu liefern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In gewisser Weise fungiert sie als Spiegel dessen wie sich die Art von Cyberkriminalität weiterentwickelt, die sich auf gängige Softwareprobleme konzentriert. Die CWE Top 25 liefert wichtige Hinweise wie man mit diesen Problemen umgehen kann. Man sollte die Hinweise aber im Kontext dessen betrachten, was für ein bestimmtes Unternehmen oder eine bestimmte Umgebung und die verwendeten Softwarekomponenten als kritisch bewertet wird. Dann haben Sicherheitsteams gute Chancen einen Großteil des Bedrohungspotenzials zu senken.
Über den Autor: Oleg Kolesnikov ist VP Threat Research/Cybersecurity bei Securonix.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/36/ca36e861b9cf2aa2970b3286275a4f9f/91484271.jpeg "Während die ursprüngliche CWE Top 25 sich auf wichtige Klassen von Softwarefehlern fokussierte, werden werden sie im Update von 2019 mit genauen Praxisdaten untermauert. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/10/63/106390170e625796de904d5adb61439f/0124316479v2.jpeg "Use-after-Free ist ein Softwarefehler bei der Verwaltung von dynamischem Speicher, durch den eine Schwachstelle entsteht. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")