{"id":67819,"date":"2025-05-04T11:15:45","date_gmt":"2025-05-04T10:15:45","guid":{"rendered":"https:\/\/www.n-able.com\/blog\/understanding-cve-cvss-evaluate-vulnerabilities-manage-risks-strategically"},"modified":"2025-07-02T11:59:54","modified_gmt":"2025-07-02T10:59:54","slug":"understanding-cve-cvss-evaluate-vulnerabilities-manage-risks-strategically","status":"publish","type":"post","link":"https:\/\/www.n-able.com\/de\/blog\/understanding-cve-cvss-evaluate-vulnerabilities-manage-risks-strategically","title":{"rendered":"CVE & CVSS verstehen: Schwachstellen bewerten, Risiken gezielt managen"},"content":{"rendered":"

Cyberangriffe nehmen stetig zu \u2013 in Umfang, Komplexit\u00e4t und Geschwindigkeit. F\u00fcr Managed Service Provider (MSPs), IT-Teams und Sicherheitsverantwortliche wird es dadurch immer schwieriger, relevante Bedrohungen schnell zu erkennen und angemessen zu reagieren. Nicht jede Schwachstelle stellt sofort ein kritisches Risiko dar \u2013 aber welche sollte zuerst gepatcht werden? Und wie priorisiert man systematisch?<\/span><\/p>\n

Hier kommen zwei Standards ins Spiel, die sich als unverzichtbare Werkzeuge im Schwachstellenmanagement etabliert haben: CVE (Common Vulnerabilities and Exposures) und CVSS (Common Vulnerability Scoring System). Sie helfen dabei, Sicherheitsl\u00fccken eindeutig zu identifizieren und ihre Schwere objektiv zu bewerten.<\/span><\/p>\n

In diesem Beitrag erkl\u00e4ren wir, was hinter CVE und CVSS steckt, wie ihre Bewertung funktioniert, welche Metriken entscheidend sind \u2013 und warum ihre gezielte Nutzung IT-Entscheidern und MSPs einen entscheidenden Vorteil im Sicherheitsalltag verschaffen kann.<\/span><\/p>\n

CVE: Einheitliche Namen f\u00fcr bekannte Schwachstellen<\/h2>\n

CVE steht f\u00fcr Common Vulnerabilities and Exposures \u2013 ein international standardisiertes System zur Identifikation von Sicherheitsl\u00fccken in Software und Hardware. Jede erkannte Schwachstelle erh\u00e4lt eine eindeutige ID im Format CVE-JJJJ-XXXXX, z.\u202fB. CVE-2023-12345. Diese ID macht die Schwachstelle in Berichten, Tools und Datenbanken weltweit eindeutig referenzierbar \u2013 ohne Verwechslungsgefahr.<\/p>\n

Vergeben werden diese CVE-IDs zentral durch das MITRE-Institut in Zusammenarbeit mit der National Vulnerability Database (NVD) und einem Netzwerk von sogenannten CNA-Partnern (CVE Numbering Authorities). Zu den CNAs z\u00e4hlen unter anderem gro\u00dfe Softwarehersteller, CERTs und Sicherheitsunternehmen.<\/p>\n

F\u00fcr MSPs und IT-Abteilungen bieten CVEs einen wichtigen Vorteil: Sie schaffen Transparenz. Wenn ein Softwareanbieter oder ein Sicherheitstool eine bestimmte CVE meldet, kann sofort nachvollzogen werden, welche Systeme betroffen sind und welche Ma\u00dfnahmen erforderlich sind. CVEs bilden somit die Grundlage f\u00fcr automatisiertes Schwachstellen-Scanning, Monitoring und Reporting \u2013 und sind ein essenzieller Baustein im professionellen IT-Sicherheitsmanagement.<\/p>\n

CVSS: Wie Sicherheitsl\u00fccken bewertet werden \u00a0<\/span><\/h2>\n

W\u00e4hrend CVE f\u00fcr die Identifikation einer Schwachstelle steht, liefert CVSS \u2013 das Common Vulnerability Scoring System \u2013 eine standardisierte Bewertung ihrer Schwere. Entwickelt wurde CVSS, um IT-Profis eine objektive Grundlage f\u00fcr die Priorisierung von Sicherheitsma\u00dfnahmen zu bieten. Der Score reicht dabei von 0.0 (keine Gefahr) bis 10.0 (kritisch).<\/p>\n

CVSS betrachtet dabei verschiedene Einflussfaktoren wie z.\u202fB. den Zugangspfad f\u00fcr einen Angreifer, den Aufwand eines Angriffs oder die potenziellen Auswirkungen auf Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit eines Systems. Diese Faktoren werden zu einem numerischen Score verdichtet, der auf einen Blick zeigt, wie gef\u00e4hrlich eine Schwachstelle unter technischen Gesichtspunkten ist.<\/p>\n

Wichtig ist dabei die Unterscheidung zwischen CVE und CVSS: Eine CVE beschreibt, was eine Schwachstelle ist \u2013 der CVSS-Score zeigt, wie schwerwiegend sie ist. F\u00fcr MSPs, RMM-Anbieter und IT-Sicherheitsverantwortliche ist diese Bewertung entscheidend, um Patches zu priorisieren, Bedrohungen zu bewerten und Ma\u00dfnahmen gezielt zu steuern \u2013 z.\u202fB. mithilfe von Tools wie N‑central RMM<\/a> oder N‑sight RMM<\/a>, die CVE- und CVSS-Informationen integrieren.<\/p>\n

Wie CVSS berechnet wird: Ein Blick auf die Bewertungsmetriken \u00a0<\/span><\/h2>\n

Der CVSS-Score basiert nicht auf einer einfachen Zahlensch\u00e4tzung \u2013 er wird nach einem festgelegten Schema berechnet, das verschiedene Metriken ber\u00fccksichtigt. Diese unterteilen sich in drei Gruppen: Basis-, zeitliche und umgebungsspezifische Metriken. Gemeinsam erlauben sie eine differenzierte und kontextsensitive Bewertung von Schwachstellen.<\/p>\n

Basis-Metriken (Base Metrics)<\/h3>\n

Sie bilden den Kern jeder CVSS-Bewertung. Hier wird analysiert:<\/p>\n