CVE erklärt: Was sind Sicherheitslücken und wie bleibt mein Unternehmen informiert?

In den Nachrichten tauchen sie regelmäßig auf: „Kritische Sicherheitslücke in Windows entdeckt", „CVE-2024-XXXX erlaubt Remotezugriff ohne Authentifizierung". Was steckt hinter dieser Nomenklatur — und was bedeutet das konkret für ein kleines oder mittleres Unternehmen?

Was ist ein CVE?

CVE steht für Common Vulnerabilities and Exposures — ein öffentliches Register für bekannte Sicherheitslücken in Software und Hardware. Jede Lücke bekommt eine eindeutige Nummer: CVE-[Jahr]-[Nummer].

Das System wird von der MITRE Corporation verwaltet und von Sicherheitsforschern, Herstellern und Behörden weltweit genutzt. Wenn Microsoft, Adobe oder Cisco eine Lücke patchen, veröffentlichen sie gleichzeitig die zugehörige CVE-Nummer.

Was ist ein CVSS-Score?

Nicht jede Lücke ist gleich gefährlich. Der CVSS-Score (Common Vulnerability Scoring System) bewertet den Schweregrad auf einer Skala von 0 bis 10:

| Score | Bewertung | |-------|-----------| | 0.0 | Kein Risiko | | 0.1 – 3.9 | Niedrig | | 4.0 – 6.9 | Mittel | | 7.0 – 8.9 | Hoch | | 9.0 – 10.0 | Kritisch |

Ein Score von 9.8 (wie bei Log4Shell 2021) bedeutet: die Lücke ist aus dem Internet ausnutzbar, ohne Authentifizierung, mit vollem Systemzugriff. Solche Lücken werden innerhalb von Stunden nach Veröffentlichung aktiv ausgenutzt.

Wie entsteht eine Sicherheitslücke?

Software hat Fehler. Immer. Einige dieser Fehler erlauben es Angreifern, unvorhergesehene Dinge zu tun:

• Pufferüberlauf: Zu viele Daten in ein zu kleines Feld schreiben → Programmcode wird überschrieben → Angreifer kann eigenen Code ausführen
• SQL-Injection: Benutzereingaben landen ungefiltert in Datenbankabfragen → Angreifer liest oder manipuliert die gesamte Datenbank
• Authentifizierungsumgehung: Ein Fehler in der Login-Logik erlaubt Zugang ohne korrektes Passwort
• Path Traversal: Ein Angreifer kann Dateien außerhalb des vorgesehenen Verzeichnisses lesen (../../etc/passwd)

Das Zeitfenster ist das Problem

Zwischen Veröffentlichung eines CVE und dem Einspielen des Patches liegt bei vielen Unternehmen Wochen bis Monate. In dieser Zeit wissen Angreifer genau wo die Lücke ist — und haben automatisierte Werkzeuge um sie auszunutzen.

Tag 0:   Lücke wird veröffentlicht (CVE publiziert)
Tag 1:   Erste Exploit-Tools kursieren im Netz
Tag 3:   Automatisiertes Scanning nach verwundbaren Systemen
Tag 7:   Aktive Angriffswellen auf ungepatchte Systeme
Tag 30+: Viele KMU haben den Patch noch nicht eingespielt

Wie bleibt man informiert?

Kostenlose Quellen

• nvd.nist.gov — Offizielle US-Datenbank, vollständig, technisch
• bsi.bund.de — BSI Warnmeldungen auf Deutsch
• cve.org — Direkte CVE-Datenbank von MITRE
• RSS-Feeds von Herstellern (Microsoft Patch Tuesday, Ubuntu Security Notices)

Für spezifische Software

Die meisten großen Hersteller bieten Security Advisory-Newsletter an:

• Microsoft: Security Update Guide
• Debian/Ubuntu: apt-listchanges und Security Mailinglists
• Apache, nginx, OpenSSL: Eigene Mailinglists

Was KMU konkret tun sollten

1. Inventar erstellen
Welche Software läuft in welcher Version? Was kann nicht schnell aktualisiert werden? Ohne Inventar keine gezielte Priorisierung.

2. Kritische Systeme priorisieren
Nicht jedes System ist gleich wichtig. Priorisierung: Internet-exponierte Systeme (Webserver, VPN, Firewall) → interne Server → Arbeitsplatzrechner.

3. Patch-Fenster definieren
Kritische Lücken (CVSS ≥ 9): innerhalb 48 Stunden. Hohe Lücken (7–8.9): innerhalb einer Woche. Mittlere Lücken: im regulären Wartungsfenster.

4. Automatisierung wo möglich
unattended-upgrades auf Linux, WSUS auf Windows-Umgebungen, automatische Updates für Endgeräte über MDM (Jamf, Intune).

Rapid Conversion IT betreibt CVE-Monitoring und Patch-Management für KMU — automatisiert, dokumentiert, mit klarer Priorisierung. Mehr erfahren →