CVE erklärt: Das weltweite System zur Erfassung von Sicherheitslücken

Wichtige Erkenntnisse

CVE (Common Vulnerabilities and Exposures) ist der weltweite Standard zur Identifizierung und Katalogisierung öffentlich bekannt gewordener Cybersicherheitslücken. Seit seiner Einführung im Jahr 1999 wurden über 308.000 Einträge erfasst, wobei im Jahr 2025 die Rekordzahl von 48.185 neuen CVEs verzeichnet wurde.
Das CVE-Programm überstand eine Finanzierungskrise im Jahr 2025, als der Vertrag mit MITRE kurz vor dem Auslaufen stand, doch aufkommende Alternativen wie EUVD und GCVE deuten auf einen Wandel hin hin zu einer dezentralen Schwachstellenverfolgung.
Nur etwa 1 % der veröffentlichten CVEs werden in der Praxis tatsächlich ausgenutzt (2025), weshalb eine risikobasierte Priorisierung mit Tools wie dem CISA-KEV-Katalog für ein effizientes Patching unerlässlich ist.
Der Rückstand bei der NVD-Ergänzung betrifft etwa 44 % der jüngsten CVEs (2025) und zwingt die Teams dazu, die NVD-Daten durch CISA Vulnrichment, Herstellerhinweise und die neue europäische EUVD zu ergänzen.
Die verhaltensbasierte Erkennung ergänzt das CVE-basierte Patching, indem sie Ausnutzungsmuster – wie laterale Bewegung und Privilegieneskalation – identifiziert, unabhängig davon, ob eine bestimmte CVE-Nummer zugewiesen wurde.

Jeden Tag sehen sich Sicherheitsteams mit einer Flut neuer Softwarefehler konfrontiert – allein im Jahr 2025 werden alle 24 Stunden mehr als 130 bekannt gegeben. Ohne ein gemeinsames System zur Benennung und Nachverfolgung dieser Fehler würden Sicherheitsverantwortliche wertvolle Zeit damit verschwenden, herauszufinden, ob zwei Sicherheitshinweise denselben Fehler beschreiben. Dieses gemeinsame System ist CVE, und das Verständnis seiner Funktionsweise ist die Grundlage jedes modernen Schwachstellenmanagementprogramms. Dieser Leitfaden behandelt die Bedeutung von CVE, die Vergabe von Kennungen, das Ökosystem der zugehörigen Standards sowie die Finanzierungskrise von 2025, die das gesamte Programm beinahe zum Erliegen gebracht hätte. Ganz gleich, ob Sie in einem SOC Warnmeldungen priorisieren oder Kontrollmaßnahmen für ein Audit zuordnen – die hier enthaltenen Informationen werden Ihnen helfen, CVE-Daten im Alltag noch effektiver zu nutzen.

Was ist CVE?

CVE (Common Vulnerabilities and Exposures) ist ein standardisiertes Identifikationssystem, das öffentlich bekannt gewordenen Sicherheitslücken eindeutige IDs zuweist. Damit erhalten Sicherheitsteams, Anbieter und Forscher eine gemeinsame Sprache, um bestimmte Schwachstellen tool- und organisationsübergreifend weltweit zu verfolgen, zu diskutieren und zu beheben.

Die MITRE Corporation entwickelte das CVE-System 1999 mit finanzieller Unterstützung des US-Heimatschutzministeriums (DHS) und der Cybersecurity and Infrastructure Security Agency (CISA). Bevor es CVE gab, konnte eine einzelne Schwachstelle in verschiedenen Scannern, Sicherheitshinweisen und Patch-Bulletins unterschiedliche Bezeichnungen tragen. Diese Inkonsistenz führte dazu, dass die teamübergreifende Koordination langsam und fehleranfällig war. CVE löste das Problem, indem es für jede Schwachstelle eine kanonische Kennung bereitstellte – eine Referenznummer, auf die jedes Tool, jeder Anbieter und jeder Analyst eindeutig verweisen kann.

Der Umfang des Programms spiegelt das Ausmaß des Problems wider. Laut Jerry Gamblins „2025 CVE Data Review“ wurden im Jahr 2025 rekordverdächtige 48.185 CVEs veröffentlicht – ein Anstieg von 20,6 % gegenüber den 39.962 Einträgen aus dem Jahr 2024. Der kumulierte Katalog umfasst nun mehr als 308.000 Einträge. Dieses Wachstum unterstreicht sowohl die wachsende Angriffsfläche als auch die entscheidende Rolle, die CVE bei der Organisation von Schwachstellendaten spielt.

In der Programmübersicht von CVE.org wird die Aufgabe prägnant beschrieben: öffentlich bekannt gewordene Sicherheitslücken zu identifizieren, zu definieren und zu katalogisieren. Das System ist kostenlos, frei zugänglich und in nahezu jedes wichtige Sicherheitstool auf dem Markt integriert.

Warum CVE für Sicherheitsteams wichtig ist

Ohne CVE würden Organisationen über kein gemeinsames Vokabular verfügen, um bestimmte Schwachstellen zu diskutieren. Wenn ein Scanner eine Schwachstelle meldet und ein Patch-Bulletin dieselbe Schwachstelle behebt, bestätigt die CVE-ID, dass es sich um dasselbe Problem handelt. Diese gemeinsame Referenz ermöglicht mehrere wichtige Arbeitsabläufe:

Toolübergreifende Korrelation. SIEM -Plattformen, Schwachstellenscanner und Patch-Management-Systeme verwenden alle die CVE-ID als Index, sodass Analysten die Ergebnisse ohne manuelle Zuordnung miteinander in Beziehung setzen können.
Schnellere Kommunikation. Anstatt eine Schwachstelle in Worten zu beschreiben, kann ein Team eine CVE-ID weitergeben, und jeder – vom SOC-Analysten bis zum CISO – weiß sofort, um welchen Umfang es sich handelt.
Compliance-Berichterstattung. Rahmenwerke wie PCI DSS, NIST CSF und NIS2 verweisen auf die CVE-basierte Nachverfolgung als zentrale Kontrollmaßnahme für das Schwachstellenmanagement.
Bedrohungsinformationen. Feeds der CISA, Herstellerhinweise und Open-Source-Informationen verwenden durchweg CVE-IDs als Primärschlüssel für Schwachstellendaten.

Wie CVE-Kennungen aufgebaut sind

Eine CVE-Kennung folgt dem Format „CVE-JAHR-NUMMER“ und enthält eine Beschreibung, betroffene Produkte, einen Schweregrad sowie Referenzlinks. Das Verständnis des Aufbaus einer CVE-ID hilft Analysten dabei, Sicherheitshinweise schnell zu analysieren und Maßnahmen zu priorisieren.

Jeder Bezeichner besteht aus drei Komponenten:

CVE-Präfix. Die Zeichenfolge „CVE“, die den Eintrag als Teil des Programms kennzeichnet.
Jahr. Das vierstellige Jahr, in dem die CVE-ID vergeben wurde (nicht unbedingt das Jahr, in dem die Schwachstelle entdeckt oder bekannt gegeben wurde).
Laufende Nummer. Eine eindeutige numerische Folge. Seit 2014 unterstützt das Programm fünf oder mehr Ziffern, um dem Volumenwachstum Rechnung zu tragen – eine Änderung, die durch den stetigen Anstieg der jährlichen Offenlegungen bedingt ist.

Neben der ID selbst enthält jeder CVE-Eintrag mehrere Datenfelder:

Beschreibung. Eine kurze Erläuterung der Sicherheitslücke, einschließlich der betroffenen Software oder Komponente.
Betroffene Produkte. Betroffene Versionen und Konfigurationen.
Referenzen. Links zu Herstellerhinweisen, Patches und technischen Dokumentationen.
Quelle: CNA. Die CVE-Nummerierungsstelle, die die ID vergeben hat.

So lesen Sie einen CVE-Eintrag

Betrachten wir CVE-2021-44228, allgemein bekannt als Log4Shell. An der ID lässt sich sofort erkennen, dass sie im Jahr 2021 vergeben wurde und die fortlaufende Nummer 44228 trägt. Der CVE-Eintrag beschreibt eine Schwachstelle zur Remote-Codeausführung in der Logging-Bibliothek Apache Log4j 2. Der CVSS-Score – der separat über das Common Vulnerability Scoring System vergeben wird – beträgt 10,0, was dem höchsten Schweregrad entspricht. Der Abschnitt „Referenzen“ enthält Links zum Apache-Hinweis, zur NVD-Erweiterungsseite und zu mehreren Analysen von Drittanbietern.

Es ist wichtig, zwischen der CVE-ID selbst und dem dazugehörigen CVSS-Wert zu unterscheiden. Die CVE-ID bezeichnet die Art der Sicherheitslücke. Der CVSS-Wert – der vom Forum of Incident Response and Security Teams FIRST) gepflegt wird – quantifiziert den Schweregrad dieser Sicherheitslücke auf einer Skala von 0 bis 10. Die beiden Systeme ergänzen sich, sind jedoch nicht austauschbar.

So funktioniert das CVE-System

CVE-Nummerierungsstellen validieren und vergeben Kennungen im Rahmen eines strukturierten Lebenszyklus, der von der Erfassung über die Veröffentlichung bis hin zur Anreicherung in der NVD reicht. Der Prozess durchläuft sechs Phasen:

Ein Forscher entdeckt eine Sicherheitslücke in Software, Hardware oder Firmware.
Der Bericht wurde über das Anfrageformular auf CVE.org an eine CNA oder direkt an MITRE übermittelt.
CNA überprüft den Bericht und bestätigt, dass die Sicherheitslücke die CVE-Aufnahmekriterien erfüllt.
Die CNA vergibt eine CVE-ID innerhalb ihres autorisierten Bereichs.
Auf CVE.org veröffentlichter CVE-Eintrag mit Beschreibung und Quellenangaben.
NVD ergänzt den Datensatz um den CVSS-Wert, CPE-Daten (Common Platform Enumeration) und weitere Metadaten.

Die CNA-Hierarchie ist in drei Ebenen gegliedert. MITRE fungiert als oberste Instanz und überwacht das gesamte Programm. Unterhalb von MITRE befinden sich die „Roots“ – Organisationen wie CISA, Google und Microsoft, die Gruppen von CNAs verwalten. An der Basis stehen die CVE-Nummerierungsstellen selbst: 365 aktive CNAs, die im Jahr 2025 im gesamten Ökosystem betrieben werden.

Was ist eine CVE-Nummerierungsstelle?

Eine CVE-Nummerierungsstelle (CNA) ist eine Organisation, die vom CVE-Programm autorisiert ist, CVE-IDs innerhalb eines definierten Bereichs zu vergeben – in der Regel für ihre eigenen Produkte oder einen bestimmten Technologiebereich. Die nach Volumen führenden CNAs im Jahr 2025 verdeutlichen die Breite des Programms:

Patchstack: 7.007 CVEs (WordPress-Ökosystem)
VulDB: 5.902 CVEs
Linux: 5.686 CVEs
MITRE: 5.208 CVEs
Wordfence: 3.451 CVEs

Diese Zahlen, die aus Jerry Gamblins Analyse von 2025 stammen, zeigen, dass Open-Source- und Webanwendungs-Ökosysteme mittlerweile den größten Anteil an neuen CVE-Zuweisungen ausmachen. Jede Organisation kann sich über das CVE.org-Programm als CNA bewerben.

So melden Sie eine Sicherheitslücke an CVE

Forscher, die eine Sicherheitslücke entdecken, können diese auf zwei Wegen melden. Wenn der betroffene Anbieter als CNA fungiert, meldet der Forscher die Schwachstelle direkt an diesen Anbieter. Ist dies nicht der Fall, kann der Forscher das Anfrageformular auf CVE.org nutzen, über das die Meldung an die zuständige CNA oder, als letzte Instanz, an MITRE weitergeleitet wird.

Nicht jede Meldung führt zu einer veröffentlichten CVE. Im Jahr 2025 wurden 1.787 CVEs abgelehnt – was einer Ablehnungsquote von 3,58 % entspricht –, in der Regel weil das gemeldete Problem die Aufnahmekriterien des Programms nicht erfüllte oder bereits einen bestehenden Eintrag duplizierte.

Das CVE-Ökosystem: CVE im Vergleich zu CVSS, CWE und NVD

CVE identifiziert konkrete Schwachstellen, während CVSS deren Schweregrad bewertet, CWE Schwachstellentypen klassifiziert und NVD erweiterte Metadaten bereitstellt. Da diese vier Systeme häufig verwechselt werden, hilft ein klarer Vergleich den Fachleuten zu verstehen, wie sie zusammenwirken.

Wie CVE, CWE, CVSS und NVD in der Schwachstellenmanagement-Pipeline zusammenhängen:

System	Zweck	Betreut von	Beispiel
CVE	Eindeutige Kennung für eine bestimmte Sicherheitslücke	MITRE Corporation	CVE-2021-44228 (Log4Shell)
CWE	Klassifiziert die Art der zugrunde liegenden Schwäche	MITRE Corporation	CWE-79 (Cross-Site Scripting)
CVSS	Schweregrad auf einer Skala von 0 bis 10	ERSTENS	10,0 (kritisch)
NVD	Erweiterte Datenbank mit CVSS-Werten, CPE-Daten und Informationen zu Korrekturen	NIST	NVD-Eintrag für CVE-2021-44228

Das System funktioniert wie folgt: Ein CWE beschreibt die allgemeine Schwachstellenklasse (zum Beispiel CWE-79 für Cross-Site Scripting). Ein CVE identifiziert einen konkreten Fall dieser Schwachstelle in einem bestimmten Produkt. CVSS bewertet dann, wie schwerwiegend dieser konkrete Fall ist. Schließlich ergänzt die National Vulnerability Database den CVE-Eintrag um strukturierte Daten – CVSS-Bewertungen, Auflistungen der betroffenen Produkte und Verweise auf Patches.

Im Jahr 2025 führte CWE-79 (Cross-Site Scripting) mit 8.207 Fällen alle Schwachstellenkategorien an, und der durchschnittliche CVSS-Wert aller veröffentlichten CVEs lag bei 6,60 – damit eindeutig im Schweregradbereich „Mittel“.

Es ist wichtig, diese Unterschiede zu verstehen, da sie unterschiedliche Fragen beantworten. „Was ist die Schwachstelle?“ – das ist CVE. „Um welche Art von Schwachstelle handelt es sich?“ – das ist CWE. „Wie schwerwiegend ist sie?“ – das ist CVSS. „Wo finde ich den vollständigen, angereicherten Datensatz?“ – das ist NVD.

Aktueller Stand des CVE-Programms (2025–2026)

Das CVE-Programm hat die Finanzierungskrise von 2025 überstanden, doch Rückstände bei der NVD und konkurrierende Systeme wie EUVD und GCVE verändern die Art und Weise, wie Sicherheitslücken erfasst werden. In diesem Abschnitt werden die drei Entwicklungen behandelt, die von den Mitbewerbern in den SERP regelmäßig übersehen werden.

Die Finanzierungskrise von 2025 und ihre Lösung

Im April 2025 stand das CVE-Programm kurz vor der Einstellung. Der Vertrag zwischen MITRE und dem DHS über den Betrieb des Programms lief aus, und eine Verlängerung war nicht in Sicht. SecurityWeek berichtete, dass die MITRE-Führung angesichts der nahenden Frist auf eine „mögliche Verschlechterung“ des Programms hingewiesen habe.

Am 16. April 2025 ereigneten sich zwei Dinge gleichzeitig. Die CISA sicherte sich eine elfmonatige Übergangsverlängerung, um das Programm am Laufen zu halten. Und die neu gegründete CVE Foundation – eine von den CVE-Vorstandsmitgliedern ins Leben gerufene gemeinnützige Organisation – nahm ihre Arbeit auf, um sich für eine vielfältige, langfristige Leitung einzusetzen.

Bis Januar 2026 hatte sich die Lage stabilisiert. CSO Online berichtete, dass dem CVE-Vorstand mitgeteilt wurde, es werde „im März keinen Finanzierungsabbruch geben“, da CVE zu einem Kernprogramm der CISA erhoben worden sei. Die Einzelheiten der Finanzierung bleiben jedoch undurchsichtig – Beobachter bezeichnen sie als „geheimnisvollen Vertrag mit einer geheimnisvollen Zahl“.

EUVD und GCVE: neue Alternativen

Die Angst vor einer möglichen Mittelkürzung hat zwei alternative Ansätze zur Erfassung von Schwachstellen beschleunigt:

EUVD (European Union Vulnerability Database). Die EUVD wurde im Mai 2025 von der ENISA im Rahmen der NIS2-Richtlinie ins Leben gerufen und stellt einen von der EU betriebenen Schwachstellenkatalog bereit. Sie ergänzt das CVE-System, anstatt es zu ersetzen, bietet europäischen Organisationen jedoch eine regionale Referenzquelle. Der EU-Cyber-Resilience-Act (CRA) wird Anbieter dazu verpflichten, aktiv ausgenutzte Schwachstellen bis September 2026 innerhalb von 24 Stunden zu melden.
GCVE (Global CVE). Das im Januar 2026 von CIRCL ins Leben gerufene GCVE verfolgt einen dezentralen Ansatz, bei dem mehrere Organisationen mithilfe des GCVE.eu-Frameworks unabhängig voneinander Schwachstellen-Identifikatoren vergeben können. Während Befürworter Vorteile für die Resilienz sehen, wies Dark Reading auf Bedenken hinsichtlich einer Fragmentierung hin, die von Fachleuten geäußert wurden, die sich Sorgen um die Aufrechterhaltung einer einzigen verlässlichen Informationsquelle machen.

Der Rückstand bei der Anreicherung von NVD

Die National Vulnerability Database – das vom NIST gepflegte System, das CVE-Einträge mit CVSS-Werten und CPE-Daten ergänzt – hat Mühe, Schritt zu halten. Laut einer Analyse von inventivehq fehlen bei etwa 44 % der im vergangenen Jahr hinzugefügten CVEs CVSS-Werte und Angaben zu den betroffenen Produkten (2025).

Das NIST verschärfte das Problem noch, indem es alle CVEs aus der Zeit vor 2018 als „zurückgestellt“ kennzeichnete – fast 100.000 Datensätze, für die ab 2026 keine Aktualisierungen mehr erfolgen werden. Das Büro des Generalinspektors des Handelsministeriums leitete eine bundesweite Prüfung der Verwaltungspraktiken des NVD ein.

Für Praktiker ist die Konsequenz klar: Teams, die sich ausschließlich auf NVD stützen, sehen sich mit unvollständigen Daten konfrontiert. Das „Vulnrichment“-Projekt der CISA bietet eine ergänzende Quelle zur Datenanreicherung, und die EUVD stellt einen zusätzlichen Datenstrom für Organisationen bereit, die den EU-Vorschriften unterliegen.

CVE in der Praxis: Ausnutzungsmuster aus der Praxis

Angesichts von täglich mehr als 130 neu veröffentlichten CVEs und der Tatsache, dass 28 % der Exploits innerhalb von 24 Stunden nach Bekanntgabe eingesetzt werden (2025), benötigen Unternehmen eine automatisierte Triage, die über die manuelle Nachverfolgung hinausgeht.

Die Zahlen für 2025 zeichnen ein düsteres Bild. Von den rekordverdächtigen 48.185 veröffentlichten CVEs verteilte sich der Schweregrad wie folgt:

Schweregrad	Anzahl	Prozentsatz
Kritisch	3,984	8.3%
Hoch	15,003	31.1%
Mittel	25,551	53.0%
Niedrig	1,557	3.2%

Verteilung der CVE-Schweregrade im Jahr 2025, basierend auf CVSS-Werten. Quelle: Jerry Gamblins CVE-Datenüberblick 2025.

Trotz dieser hohen Zahl gehen Angreifer weiterhin sehr selektiv vor. Nur etwa 1 % der über 48.000 im Jahr 2025 veröffentlichten CVEs wurden in der Praxis nachweislich ausgenutzt. Wenn es jedoch zu einer Ausnutzung kommt, geschieht dies schnell – 54 % der kritischen CVEs wurden innerhalb der ersten Woche nach ihrer Offenlegung (2025) ausgenutzt. Sicherheitsforscher identifizierten im Jahr 2025 884 bekannte ausgenutzte Schwachstellen, für die erstmals Beweise vorlagen, und der CISA-KEV-Katalog wuchs um 244 Einträge (ein Anstieg um 28 %), wodurch sich die Gesamtzahl auf 1.483 erhöhte.

FIRST prognostiziert für 2026 einen Medianwert von 59.427 neuen CVEs – eine Entwicklung, die eine manuelle Nachverfolgung zunehmend unmöglich macht.

Bemerkenswerte Fallstudien zu CVE

Drei Beispiele aus der Praxis veranschaulichen verschiedene Ausnutzungsmuster:

Log4Shell (CVE-2021-44228). Eine kritische Sicherheitslücke in der Apache Log4j 2-Bibliothek, die eine Remote-Codeausführung ermöglicht und einen CVSS-Wert von 10,0 aufweist. Angreifer begannen bereits wenige Stunden nach der Bekanntgabe im Dezember 2021, diese Schwachstelle auszunutzen. Da Log4j in Millionen von Anwendungen eingebettet ist, war das Ausmaß der Auswirkungen enorm – und Unternehmen entdecken auch Jahre später noch ungeschützte Instanzen.
MOVEit Transfer (CVE-2023-34362). Eine zero-day durch SQL-Injection im Dateiübertragungstool von Progress Software. Die CL0P ransomware -Operation nutzte diese aus, bevor ein Patch verfügbar war, und kompromittierte etwa 130 Organisationen aus den Bereichen Regierung, Finanzen und Gesundheitswesen.
GoAnywhere MFT (CVE-2025-10035). Ein weiteres Dateiübertragungstool, das im Rahmen eines Supply-Chain-Angriffsmusters ins Visier genommen wurde. Medusa Akteure nutzten die Schwachstelle bereits vor ihrer öffentlichen Bekanntgabe aus und führten eine vollständige Angriffskette durch – vom ersten Zugriff über laterale Bewegung und Datenexfiltration bis hin ransomware .

Nutzung von CVE-Daten zur Erkennung und Abwehr von Angriffen

Eine wirksame CVE-basierte Abwehr erfordert eine risikobasierte Priorisierung, bei der CVSS-Werte, der CISA-KEV-Status, Informationen zu Exploits und Funktionen zur Verhaltenserkennung kombiniert werden. Der folgende Arbeitsablauf hilft Sicherheitsteams dabei, CVE-Daten in die Praxis umzusetzen:

Beobachten Sie CVE-Quellen. Verfolgen Sie neue Veröffentlichungen auf CVE.org, NVD, im CISA-Katalog bekannter ausgenutzter Sicherheitslücken, auf EUVD sowie in herstellerspezifischen Sicherheitshinweisen.
Stellen Sie einen Abgleich mit Ihrem Anlagenbestand her. Ordnen Sie veröffentlichte CVEs Ihrer Umgebung zu, indem Sie Daten aus dem Anlagenmanagement und der SBOM (Software Bill of Materials) nutzen, um Transparenz über Komponenten von Drittanbietern zu gewinnen.
Legen Sie Prioritäten anhand eines risikobasierten Ansatzes fest. Kombinieren Sie den CVSS-Schweregrad, den CISA-KEV-Status (wird die CVE aktiv ausgenutzt?), verfügbare Informationen zu Exploits und die Kritikalität der Ressourcen, um die Dringlichkeit der Behebung einzustufen.
Beheben Sie die Schwachstelle. Installieren Sie Patches, sofern verfügbar. Ist eine Patch-Installation nicht sofort möglich, setzen Sie Ausgleichsmaßnahmen ein – virtuelles Patchen, Netzwerksegmentierung oder Zugriffsbeschränkungen.
Überprüfen und nachverfolgen. Vergewissern Sie sich durch erneutes Scannen, dass die Korrekturmaßnahmen wirksam waren, und aktualisieren Sie Ihre Nachverfolgungssysteme.

Der CISA-KEV-Katalog verdient in Schritt drei besondere Beachtung. Mit einer mittleren Zeitspanne bis zur Aufnahme in den KEV von nur 5,0 Tagen (gegenüber 8,5 Tagen in den Vorjahren, 2025) liefert der Katalog einen schnellen, kuratierten Hinweis darauf, welche CVEs Angreifer tatsächlich nutzen. Gemäß der verbindlichen operativen Richtlinie 22-01 müssen US-Bundesbehörden KEV-Einträge innerhalb der vorgeschriebenen Fristen beheben.

Über CVE-basierte Patches hinaus: Verhaltenserkennung

Das alleinige Patchen auf Basis von CVE-IDs lässt Lücken offen. Zero-day werden ausgenutzt, bevor überhaupt eine CVE-ID existiert. Die Bereitstellung von Patches nimmt Zeit in Anspruch. Und manche Umgebungen – Altsysteme, Betriebstechnologie, SaaS-Lösungen von Drittanbietern – lassen sich nicht schnell patchen.

Die verhaltensbasierte Bedrohungserkennung schließt diese Lücke, indem sie sich darauf konzentriert, was Angreifer nach der Ausnutzung einer Schwachstelle tun, anstatt auf die spezifische CVE, die sie genutzt haben. Lösungen zur Netzwerküberwachung und -reaktion überwachen Verhaltensweisen nach der Ausnutzung – Aufklärung, laterale Bewegung, Ausweitung von Berechtigungen, Command-and-Control-Kommunikation und Datenexfiltration – unabhängig vom Angriffsvektor.

Ein mehrschichtiger Sicherheitsansatz kombiniert CVE-basiertes Schwachstellenmanagement mit Funktionen zur Verhaltenserkennung und zur Reaktion auf Vorfälle. Wenn eine zero-day die CVE-basierten Abwehrmaßnahmen vorübergehend außer Kraft setzt, bietet die Verhaltenserkennung ein Sicherheitsnetz.

CVE und Compliance

Die CVE-Verfolgung unterstützt direkt die Compliance-Anforderungen der wichtigsten regulatorischen Rahmenwerke. Die folgende Zuordnungstabelle ordnet die CVE-Prozesse den Kontrollmaßnahmen zu, auf die Prüfer achten.

Wie sich die CVE-Verfolgung auf die wichtigsten Compliance-Rahmenwerke abbildet:

Rahmenwerk	Entsprechende Steuerung	CVE-Anforderung	Beweise
NIST CSF	ID.RA-1, PR.IP-12	Schwachstellen in Systemen identifizieren; einen Plan zum Schwachstellenmanagement pflegen	CVE-basierte Scanberichte, Protokolle zur Fehlerbehebung
PCI DSS v4.0	Anforderung 6.3	Sicherheitslücken mithilfe von CVE-Daten identifizieren und verwalten	Vierteljährliche Scan-Ergebnisse mit CVE-Zuordnung
ISO 27001:2022	Kontrolle A.12.6	Technisches Schwachstellenmanagement	CVE-Verfolgungsdaten, Zeitachsen für Patches
NIS2-Richtlinie	Artikel 21	Risikobasiertes Schwachstellenmanagement	Einbindung der EUVD, auf CVE basierende Risikobewertungen
CISA-Vorstand 22-01	Vollständige Richtlinie	KEV-Katalogeinträge innerhalb der vorgeschriebenen Fristen korrigieren	KEV-Konformitätsberichte, Nachweise über Abhilfemaßnahmen

Über die Zuordnung zu Frameworks hinaus lassen sich CVE-Daten direkt mit dem MITRE ATT&CK. Das Center for Threat-Informed Defense (CTID) von MITRE unterhält ein Projekt Zuordnung von ATT&CK-Techniken zu CVEs, wobei bestimmte Schwachstellen mit dem Verhalten von Angreifern in Verbindung gebracht werden. Beispielsweise die Technik T1190 (Exploit für öffentlich zugängliche Anwendungen) wird CVEs in Webservern und APIs zugeordnet, während T1068 (Ausnutzung zur Rechteausweitung) entspricht lokalen Schwachstellen bei der Rechteausweitung.

Moderne Ansätze zur Schwachstellenanalyse

Moderne Schwachstellenanalyse kombiniert CVE-Daten mit Verhaltenserkennung und risikobasierter Priorisierung, um die Lücke zwischen Bekanntgabe und Ausnutzung zu schließen. Angesichts der von FIRST für 2026 prognostizierten mittleren Zahl von 59.427 neuen CVEs bricht der alte Ansatz, alles nach CVSS-Score zu patchen, unter seinem eigenen Gewicht zusammen.

Die aktuelle Lage ist durch mehrere Veränderungen geprägt:

Risikobasierte Priorisierung statt einer Triage allein auf Basis des CVSS. Nur bei 1 % der CVEs wird bestätigt, dass sie in der Praxis ausgenutzt werden (2025). Der CISA-KEV-Katalog, Feeds mit Informationen zu Exploits und Daten zur Kritikalität von Systemressourcen liefern weitaus aussagekräftigere Hinweise als reine Schweregradbewertungen allein.
Ergänzende Informationen über NVD hinaus. Da der Rückstand bei NVD 44 % der jüngsten Einträge betrifft, greifen Teams auf CISA Vulnrichment, die EUVD, Herstellerhinweise und Open-Source-Informationen zurück, um diese Lücke zu schließen.
SBOM zur Nachverfolgung von Abhängigkeiten. Software-Stücklisten verschaffen Unternehmen Einblick in transitive Abhängigkeiten – also in die tief in ihren Anwendungen verborgenen Bibliotheken von Drittanbietern –, sodass sie das CVE-Risiko in ihrer gesamten Software-Lieferkette schnell einschätzen können.
Automatisierung und KI-gestützte Triage. Bei mehr als 130 neuen CVEs pro Tag ist eine manuelle Überprüfung nicht mehr tragbar. Unternehmen setzen zunehmend automatisierte Korrelations-Engines ein, die neue CVEs mit ihren Bestandslisten abgleichen und nur diejenigen Einträge kennzeichnen, die ein echtes Risiko darstellen.
Verhaltensbasierte Erkennung als Ergänzung. Programme zum kontinuierlichen Management von Sicherheitsrisiken und zur Schwachstellenanalyse kombinieren zunehmend CVE-basierte Scans mit Verhaltensüberwachung, um die Ausnutzung unbekannter oder ungepatchter Schwachstellen aufzudecken.

Wie Vectra AI die Ausnutzung von Sicherheitslücken Vectra AI

Vectra AI die Ausnutzung von Sicherheitslücken unter der Prämisse, dass ein Kompromittierung bereits stattgefunden hat. Anstatt sich ausschließlich auf CVE-basierte Patches zu verlassen, Attack Signal Intelligence Vectra AI darauf, das Verhalten von Angreifern nach der Ausnutzung von Sicherheitslücken zu erkennen – unabhängig davon, ob es sich um bekannte, unbekannte oder zero-day handelt. Diese Methodik stellt sicher, dass Verteidiger Ausnutzungsmuster wie laterale Bewegung, Privilegieneskalation und Datenexfiltration unabhängig von der jeweiligen CVE identifizieren können, wodurch die Lücke zwischen der Offenlegung von Schwachstellen und der Reaktion des Unternehmens geschlossen wird.

Künftige Trends und neue Überlegungen

Das Ökosystem der Offenlegung von Sicherheitslücken steht vor einer Phase rascher struktureller Veränderungen. In den nächsten 12 bis 24 Monaten werden verschiedene Entwicklungen die Art und Weise neu gestalten, wie Unternehmen CVEs aufspüren, priorisieren und darauf reagieren.

Das Volumen wird weiter zunehmen. Die von FIRST prognostizierte Medianzahl von 59.427 neuen CVEs für 2026 entspricht einem weiteren Anstieg von 23 % gegenüber dem Rekordwert von 2025. KI-Frameworks (Langflow, Semantic Kernel) und Unternehmens-Control-Planes (SD-WAN-Appliances, Identitätsinfrastruktur, Migrationstools) eröffnen neue Schwachstellenkategorien, die vor zwei Jahren noch kaum existierten. Sicherheitsteams sollten ihre Personal- und Tool-Planung auf der Annahme aufbauen, dass das tägliche CVE-Volumen bis Ende 2026 160 Einträge übersteigen wird.

Die regulatorischen Anforderungen werden verschärft. Der EU-Cyber-Resilience-Act (CRA) tritt im September 2026 in Kraft und verpflichtet Anbieter, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden zu melden. NIS2 schreibt bereits ein risikobasiertes Schwachstellenmanagement für kritische und wichtige Einrichtungen in der gesamten EU vor. In den USA könnte die Prüfung des NVD durch das OIG des Handelsministeriums zu strukturellen Änderungen bei der Aufbereitung von Schwachstellendaten durch das NIST führen. Unternehmen, die in mehreren Rechtsräumen tätig sind, sollten sich auf sich überschneidende Meldepflichten für CVE, EUVD und GCVE vorbereiten.

Die Dezentralisierung wird sowohl Widerstandsfähigkeit als auch Reibungspunkte mit sich bringen. Die Einführung von EUVD und GCVE schafft Redundanz – eine wertvolle Absicherung gegen einzelne Ausfallpunkte wie die Finanzierungskrise von 2025. Sie bringt jedoch auch Herausforderungen bei der Koordination mit sich. Wird eine in GCVE erfasste Schwachstelle dieselbe ID in CVE tragen? Wie wird NVD die Anreicherung von Einträgen handhaben, die außerhalb der traditionellen CNA-Hierarchie entstehen? Diese Fragen bleiben bislang unbeantwortet und erfordern die Aufmerksamkeit sowohl von politischen Entscheidungsträgern als auch von Fachleuten.

Die KI-gestützte CVE-Triage wird zum Standard werden. Angesichts des anhaltenden Rückstands im NVD und steigender Datenmengen werden Unternehmen, die sich weiterhin auf die manuelle Überprüfung von CVEs verlassen, weiter ins Hintertreffen geraten. Es ist mit einer breiteren Einführung automatisierter Korrelations-Engines, KI-gestützter Modelle zur Vorhersage der Ausnutzbarkeit sowie der Integration von SBOM-Daten in die Arbeitsabläufe des Schwachstellenmanagements zu rechnen.

Investitionsschwerpunkt: Unternehmen sollten Mittel für automatisierte CVE-Korrelation, SBOM-Tools und Funktionen zur Verhaltenserkennung einplanen, die unabhängig von bestimmten CVE-Zuordnungen funktionieren – denn der nächste kritische Exploit könnte schon da sein, bevor eine CVE-ID vergeben wird.

Schlussfolgerung

CVE bildet nach wie vor das Fundament, auf dem die Cybersicherheits-Community Schwachstellen identifiziert und darüber informiert. Von seinen Anfängen im Jahr 1999 bis hin zu den im Jahr 2025 veröffentlichten Rekordzahlen von 48.185 Einträgen ist das System parallel zur stetig wachsenden Angriffsfläche gewachsen. Doch dieser Umfang bringt Herausforderungen mit sich: Die Finanzierungskrise von 2025, der Rückstau bei der Anreicherung der NVD-Daten sowie das Aufkommen von EUVD und GCVE sind allesamt Anzeichen dafür, dass sich das Ökosystem der Schwachstellen diversifiziert.

Für Sicherheitsteams lautet die praktische Erkenntnis, Workflows zu entwickeln, die über die reine CVE-Verfolgung hinausgehen. Kombinieren Sie die CVE-Verfolgung mit einer risikobasierten Priorisierung unter Verwendung des CISA-KEV-Katalogs, ergänzen Sie NVD-Daten durch verschiedene zusätzliche Informationsquellen und investieren Sie in verhaltensbasierte Erkennung, die Angriffe aufdeckt, unabhängig davon, ob bereits eine CVE-ID zugewiesen wurde. Die Angreifer, auf die es wirklich ankommt – diejenigen, die es auf Ihr Unternehmen abgesehen haben –, werden nicht auf eine CVE-ID warten, bevor sie zuschlagen.

Um zu erfahren, wie Vectra AI Unternehmen Vectra AI , Verhaltensmuster nach einem Angriff in Netzwerk-, Identitäts- und cloud zu erkennen, entdecken Sie die Vectra AI .

Häufig gestellte Fragen

Wofür steht CVE?

CVE steht für „Common Vulnerabilities and Exposures“. Die MITRE Corporation hat das System 1999 ins Leben gerufen, um eine standardisierte Methode zur Identifizierung öffentlich bekannt gewordener Cybersicherheitslücken bereitzustellen. Jeder CVE-Eintrag erhält eine eindeutige Kennung im Format CVE-JAHR-NUMMER (zum Beispiel CVE-2021-44228 für die Log4Shell-Sicherheitslücke). Das Wort „Common“ im Namen spiegelt den Kernzweck wider: die Schaffung einer gemeinsamen Referenz, die jedes Sicherheitstool, jeder Anbieter und jeder Analyst nutzen kann. Vor der Einführung von CVE verwendeten verschiedene Organisationen oft unterschiedliche Bezeichnungen für dieselbe Schwachstelle, was die Koordination verlangsamte und unzuverlässig machte. Heute umfasst das CVE.org-Programm über 308.000 Einträge und ist in praktisch jeden Schwachstellenscanner, jedes SIEM-System und jede Patch-Management-Plattform auf dem Markt integriert. Die CISA finanziert das Programm als öffentliches Gut für die globale Cybersicherheits-Community.

Wie werden CVE-Kennungen vergeben?

CVE-Kennungen werden von CVE-Nummerierungsstellen (CNAs) vergeben – Organisationen, die befugt sind, CVE-IDs innerhalb eines festgelegten Bereichs zu vergeben. Im Jahr 2025 sind im Rahmen des Programms 365 aktive CNAs tätig, darunter sowohl große Softwareanbieter als auch Sicherheitsforschungsorganisationen wie Patchstack und VulDB. Wenn ein Forscher eine Sicherheitslücke entdeckt, meldet er diese an die zuständige CNA (in der Regel den betroffenen Anbieter) oder über das Anfrageformular auf CVE.org. Die CNA prüft den Bericht, bestätigt, dass er die Aufnahmekriterien erfüllt, und vergibt eine CVE-ID. Der Eintrag wird dann auf CVE.org mit einer Beschreibung und Referenzen veröffentlicht. Im Jahr 2025 wurden 1.787 Meldungen abgelehnt (eine Ablehnungsquote von 3,58 %), in der Regel weil das Problem bereits in einem bestehenden Eintrag enthalten war oder die Programmkriterien nicht erfüllte.

Was ist der Unterschied zwischen CVE und CVSS?

CVE und CVSS erfüllen sich ergänzende, aber unterschiedliche Funktionen. CVE liefert eine eindeutige Kennung für eine bestimmte Sicherheitslücke – es beantwortet die Frage „Was ist die Schwachstelle?“ CVSS (Common Vulnerability Scoring System), das von FIRST gepflegt wird, liefert eine numerische Bewertung des Schweregrads auf einer Skala von 0 bis 10 – es beantwortet die Frage „Wie schlimm ist es?“ Beispielsweise ist CVE-2021-44228 (Log4Shell) die Kennung; ihr CVSS-Wert von 10,0 weist auf maximale Schwere hin. Ein CVE-Eintrag kann ohne CVSS-Wert existieren (und etwa 44 % der jüngsten NVD-Einträge weisen aufgrund des Rückstands bei der Anreicherung keinen auf), aber ein CVSS-Wert bezieht sich immer auf eine bestimmte CVE. In der Praxis nutzen Sicherheitsteams CVE-IDs, um einzelne Schwachstellen zu verfolgen, und CVSS-Werte, um die Priorisierung von Abhilfemaßnahmen zu unterstützen – obwohl Experten zunehmend empfehlen, CVSS durch den CISA-KEV-Status und Exploit-Informationen zu ergänzen, um eine genauere Risikoeinstufung zu erhalten.

Was ist der Unterschied zwischen CVE und NVD?

CVE ist das Identifikationssystem, das Schwachstellen eindeutige IDs zuweist. Die vom NIST gepflegte National Vulnerability Database (NVD) ist ein separates System, das CVE-Einträge übernimmt und diese mit zusätzlichen Daten anreichert – CVSS-Schweregradbewertungen, Common Platform Enumeration (CPE)-Daten zur Identifizierung betroffener Produkte sowie Verweise auf Patches und Korrekturen. Stellen Sie sich CVE als Geburtsurkunde und NVD als detaillierte Krankenakte vor. CVE sagt Ihnen, dass die Schwachstelle existiert; NVD sagt Ihnen, wie schwerwiegend sie ist und welche spezifischen Softwareversionen betroffen sind. Diese Unterscheidung ist in der Praxis von Bedeutung, da der Rückstand bei der Anreicherung der NVD bedeutet, dass nicht alle CVEs zeitnah von der NVD analysiert werden. Teams, die sich bei der Priorisierung ausschließlich auf die NVD verlassen, könnten kürzlich veröffentlichte CVEs übersehen, die noch nicht bewertet wurden.

Wie viele CVEs wurden veröffentlicht?

Das CVE-Programm hat seit seinem Start im Jahr 1999 über 308.000 Sicherheitslücken katalogisiert. Allein im Jahr 2025 wurden rekordverdächtige 48.185 CVEs veröffentlicht – ein Anstieg von 20,6 % gegenüber den 39.962 im Jahr 2024. FIRST prognostiziert für 2026 einen Median von 59.427 neuen CVEs, womit sich der Aufwärtstrend fortsetzen dürfte. Die Schweregradverteilung im Jahr 2025 sah wie folgt aus: 8,3 % kritisch, 31,1 % hoch, 53,0 % mittel und 3,2 % niedrig. Trotz dieser Zahlen wird nur bei etwa 1 % der veröffentlichten CVEs bestätigt, dass sie in der Praxis ausgenutzt werden, weshalb eine risikobasierte Priorisierung – unter Verwendung von Tools wie dem CISA-KEV-Katalog – unerlässlich ist. Die führenden CVE-Nummerierungsstellen nach Volumen im Jahr 2025 waren Patchstack (7.007), VulDB (5.902) und Linux (5.686), was den großen Beitrag von Open-Source- und Webanwendungs-Ökosystemen widerspiegelt.

Was geschah 2025 mit den CVE-Mitteln?

Im April 2025 geriet das CVE-Programm in eine existenzielle Krise, als der Vertrag zwischen MITRE und dem DHS über den Betrieb des Systems auslaufen sollte, ohne dass eine Verlängerung in Aussicht stand. SecurityWeek berichtete, dass die MITRE-Führung vor einer „möglichen Verschlechterung“ des Programms gewarnt habe. Am 16. April 2025 sicherte sich die CISA eine Überbrückungsverlängerung um elf Monate, und die CVE Foundation wurde als gemeinnützige Organisation gegründet, um sich für eine langfristige Steuerung einzusetzen. Im Januar 2026 bestätigte CSO Online, dass dem CVE-Vorstand mitgeteilt wurde, es werde „im März keinen Finanzierungssturz geben“, wobei CVE zu einem Kernprogramm der CISA erhoben wurde. Die Krise veranlasste die EU, die EUVD voranzutreiben, und gab den Anstoß zur Gründung von GCVE – beides Initiativen, die darauf abzielen, die Abhängigkeit von einem einzigen, von den USA finanzierten Programm zu verringern.

Was ist der CISA-KEV-Katalog?

Der CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) ist eine kuratierte Liste von CVEs, bei denen bestätigt wurde, dass sie in realen Angriffen aktiv ausgenutzt werden. Im Gegensatz zum vollständigen CVE-Katalog – der über 308.000 Einträge umfasst – konzentriert sich der KEV-Katalog ausschließlich auf die kleine Untergruppe von Schwachstellen, die von Angreifern tatsächlich genutzt werden. Bis Ende 2025 umfasste er 1.483 Einträge, wobei im Laufe des Jahres 244 neue Einträge hinzukamen (ein Anstieg um 28 %). Gemäß der verbindlichen operativen Richtlinie 22-01 müssen US-Bundesbehörden KEV-Einträge innerhalb der vorgeschriebenen Fristen beheben. Für nicht-föderale Organisationen dient der KEV-Katalog als eines der praktischsten verfügbaren Priorisierungsinstrumente – ein kuratiertes Signal, das den Rausch der über 48.000 jährlichen CVEs durchbricht, um diejenigen hervorzuheben, die ein unmittelbares, nachweisbares Risiko darstellen.