:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Common Vulnerabilities and Exposures (CVE) Was ist CVE?
Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Dank der eindeutigen Benennung wird der Datenaustausch über Schwachstellen und Sicherheitsrisiken vereinfacht. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Abkürzung CVE steht für Common Vulnerabilities and Exposures. Es handelt sich um einen Standard, der Schwachstellen und Sicherheitsrisiken von Computersystemen eindeutig benennt und in einem allgemein zugänglichen Verzeichnis auflistet. Ziel ist es, den Datenaustausch über Schwachstellen beispielsweise zwischen verschiedenen Herstellern zu vereinfachen und eine eindeutige Identifikation zu ermöglichen. IPS- oder IDS-Systeme können das CVE-Verzeichnis in ihrem Vulnerability-Management verwenden.
Grundsätzlich unterscheidet das Verzeichnis zwischen Sicherheitslücken, Schwachstellen und Exposures. Während Sicherheitslücken durch einen Fehler im Code verursacht werden und direkten Zugriff auf ein System ermöglichen, gestattet ein Exposure indirekten Zugang und beispielsweise das Kopieren von Kundendaten oder das unbefugte Erlangen weiterer Rechte. Die CVEs pflegt das sogenannte CVE Editorial Board. Mitglieder sind Vertreter von Sicherheitsorganisationen, akademische Institutionen, Hersteller und Sicherheitsexperten. Moderator im Editorial Board ist die gemeinnützige MITRE Corporation, die von der US-amerikanischen Regierung unterstützt wird. Die MITRE verwaltet auch die Website. Seit 1999 werden CVE-Nummern vergeben.
:quality(80)/images.vogel.de/vogelonline/bdb/1434300/1434341/original.jpg "Wer bei der großen Zahl an jährlich entdeckten Schwachstellen und Sicherheitslücken in Programmen und Geräten den Überblick behalten will, muss sich mit CVE und CVSS auskennen. (itcraftsman - stock.adobe.com)")
Common Vulnerabilities and Exposures (CVE)
CVE & Co. für Einsteiger
Ziele der Common Vulnerabilities and Exposures
Hauptziel der Common Vulnerabilities and Exposures ist es, bekannte Schwachstellen oder Expositionen eindeutig zu benennen, um Administratoren oder Herstellern einen schnellen Zugriff auf Informationen über Bedrohungen zu ermöglichen. Dank der eindeutigen Nummern kann auf weitere CVE-kompatible Informationsquellen schnell zugegriffen werden. Common Vulnerabilities and Exposures erleichtern die Suche in anderen Datenbanken und gestatten einen Austausch von Daten zwischen Herstellern mit ihren verschiedenen Sicherheitstools.
Die Syntax der CVEs
CVE-Namen, auch CVE-IDs oder nur CVEs genannt, sind nach einer genau definierten Syntax aufgebaut. Jeder Name enthält die folgenden Angaben:
- eine eindeutige Identifikationsnummer beispielsweise CVE-1999-0050
- den Status "Entry" oder "Candidate"
- eine kurze Beschreibung der Sicherheitslücke oder des Exposures
- passende Referenzen
Die Fortlaufenden Identifikationsnummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).
Die verschiedenen Stati der CVE
CVEs unterscheiden die zwei Stati "Entry" und "Candidate" (Eintrag oder Kandidat). Der Entry-Status sagt aus, dass die ID von der Common Vulnerabilities and Exposures Liste akzeptiert ist. Ein Eintrag mit dem Status Candidate steht unter Beobachtung und ist noch nicht offiziell in die Liste aufgenommen. Es wird noch geprüft, ob eine Aufnahme in die Liste erfolgt.
:quality(80)/images.vogel.de/vogelonline/bdb/1444500/1444501/original.jpg "Ein aktueller CVE-Eintrag in der National Vulnerability Database. (https://nvd.nist.gov/vuln/detail/CVE-2018-7774)")
Common Vulnerabilities and Exposures
Die CVE-Auflistung bekannter Sicherheitslücken
Bedeutung der CVE-Kompatibilität
Datenbanken, Security-Tools oder Webseiten können CVE-kompatibel sein. Die Kompatibilität sagt aus, dass CVE-IDs korrekt und gemäß der Syntax verwendet werden, um sie mit anderen Informationen zu verknüpfen. So ist sichergestellt, dass sich die kompatiblen Services und Anwendungen untereinander austauschen können. Die vier Mindestanforderungen für die Kompatibilität sind:
- Schwachstellen und zugehörige Informationen sind unter der CVE-ID auffindbar,
- die angebotenen Informationen verwenden CVE-Namen,
- die Dokumentation enthält Beschreibungen zur Kompatibilität und Informationen, wie die bereitgestellten Informationen für andere Dienste oder Produkte nutzbar sind,
- der Eigentümer eines Repositories hat eine exakte Zuordnung zu spezifischen CVE-Versionen sichergestellt.
(ID:45579222)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932370/original.jpg "Während die Fertigungsindustrie offensichtlich an der Spitze der Gefährdungsliste steht, zeigt der TXOne Cybersecurity-Bericht auch einen Anstieg der CVEs, die für Angriffe auf zahlreiche andere Branchen verwendet werden können. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945987/original.jpg "AdaCore hat Version 22 von GNAT Pro Assurance vorgestellt. (AdaCore)")