Vulnerability einfach erklärt

Was ist eine Vulnerability?

Eine Vulnerability ist der englische Fachbegriff für eine einzelne, technisch ausnutzbare Lücke – etwa einen Pufferüberlauf, eine unsichere Deserialisierung oder eine angreifbare Abhängigkeit in einer Software-Bibliothek. Dieser Beitrag betrachtet die technische Seite: wie eine Lücke identifiziert, bewertet und über ihren Lebenszyklus hinweg behoben wird. Die übergeordnete, organisatorische Sicht – Prozess, Verantwortung und Audit-Nachweis – erklärt der Beitrag zu Schwachstellen. Bekannte Lücken erhalten eine eindeutige CVE-ID (Common Vulnerabilities and Exposures) und werden mit dem CVSS-Score von 0 bis 10 nach ihrer Schwere eingestuft. Ergänzend schätzt der EPSS-Score die Wahrscheinlichkeit, dass eine Lücke tatsächlich ausgenutzt wird – ein wertvolles Signal, um Prioritäten zu setzen.

Scoring: CVE, CVSS und EPSS

Der CVSS-Wert beschreibt das theoretische Schadenspotenzial, sagt aber nichts darüber aus, ob eine Lücke aktiv angegriffen wird. Genau hier setzt EPSS an: Es prognostiziert die Ausnutzungswahrscheinlichkeit in den nächsten 30 Tagen. Steht eine Lücke zusätzlich im KEV-Katalog (Known Exploited Vulnerabilities), ist sie nachweislich im Einsatz und gehört ganz nach oben. Erst die Kombination aus Schwere (CVSS), Wahrscheinlichkeit (EPSS) und Erreichbarkeit des Systems ergibt eine belastbare technische Priorisierung.

Bekannte Lücken vs. Zero-Days

Für die meisten katalogisierten CVEs existiert bereits ein Patch – sie bleiben nur gefährlich, weil das Update nicht eingespielt wird. Anders bei „Zero-Days": Sie werden ausgenutzt, bevor der Hersteller einen Fix liefert. Solange kein Patch verfügbar ist, zählen ausschließlich kompensierende Maßnahmen – virtuelles Patchen per WAF-Regel, zusätzliche Netzwerk-Filter, Härtung der Konfiguration oder das vorübergehende Abschalten des betroffenen Dienstes.

Der technische Behandlungsprozess

Tooling automatisiert den Lebenszyklus: Schwachstellen-Scanner und SCA-Tools gleichen Systeme, Container und Abhängigkeiten kontinuierlich gegen CVE-Datenbanken ab; ein SBOM (Software Bill of Materials) macht verwundbare Komponenten überhaupt erst sichtbar. Aus dem Befund leitet sich ein Patch-SLA ab – ein verbindliches Zeitfenster, das sich nach der Kritikalität richtet. Hinweise auf eine bereits laufende Ausnutzung liefern Indicators of Compromise.

• Identifikation: Scanner-Lauf, SBOM-Abgleich und Feed-Import (NVD, KEV, Hersteller-Advisories).
• Bewertung: CVSS-Schwere plus EPSS-Wahrscheinlichkeit und tatsächliche Erreichbarkeit gewichten.
• Behandlung: Patch innerhalb des SLA einspielen, sonst Härtung oder virtuelles Patchen als Workaround.
• Verifikation: Re-Scan durchführen, der die geschlossene Lücke nicht mehr meldet.
• Dokumentation: Zeitstempel, Maßnahme und Re-Scan-Beleg für den Nachweis festhalten.

Patch-SLAs in der Praxis

Bewährt haben sich gestufte Fristen: kritische Lücken (CVSS 9.0–10.0) binnen 24 bis 72 Stunden, hohe binnen sieben Tagen, mittlere binnen 30 Tagen. Beispiel: Ein Schwachstellen-Scanner meldet CVE-2026-XXXX mit CVSS 9.8 und hohem EPSS-Wert in einer Bibliothek des öffentlich erreichbaren Kundenportals. Weil Schwere, Wahrscheinlichkeit und Exposition zusammenfallen, greift das 24-Stunden-SLA: Das Team spielt ein Notfall-Update ein, prüft die Logs auf IoCs und bestätigt per Re-Scan, dass die Lücke geschlossen ist – so entsteht kein meldepflichtiger erheblicher Vorfall. Diese technische Disziplin ist Teil des Risikomanagements und der Cyberhygiene, die NIS2 seit dem 6. Dezember 2025 nach Artikel 21 verlangt.

Weiterführende Quelle: ENISA – EU-Agentur für Cybersicherheit