Was ist ein CVE? Schwachstellen-IDs verstehen (2026)
9. Juni 2001 · von Pentevo
Wenn Sie sich auch nur ein wenig mit Sicherheit beschäftigen, haben Sie IDs wie CVE-2024-3094 gesehen. Ein CVE (Common Vulnerabilities and Exposures) ist ein eindeutiger Bezeichner für eine spezifische, öffentlich bekannte Sicherheitslücke. Es ist die gemeinsame Sprache, die es allen – Herstellern, Verteidigern, Tools – erlaubt, ohne Verwechslung auf dieselbe Schwachstelle zu verweisen.
Wie die ID funktioniert
CVE-2024-3094 gliedert sich in:
- CVE – das Präfix.
- 2024 – das Jahr der Zuweisung.
- 3094 – eine eindeutige Sequenznummer.
Das war's. Die ID selbst trägt keinen Schweregrad – sie ist einfach nur ein Name.
CVSS: Wie schwerwiegend ist es?
Der Schweregrad kommt vom CVSS (Common Vulnerability Scoring System), einem Wert von 0 bis 10:
- 9,0–10,0 Kritisch
- 7,0–8,9 Hoch
- 4,0–6,9 Mittel
- 0,1–3,9 Niedrig
CVSS spiegelt wider, wie schlimm es sein könnte, und berücksichtigt Dinge wie Angriffskomplexität und Auswirkung.
EPSS und KEV: Wird es tatsächlich ausgenutzt?
CVSS sagt Ihnen den Schweregrad, aber nicht die Wahrscheinlichkeit. Zwei neuere Signale helfen bei der Priorisierung:
- EPSS – die Wahrscheinlichkeit, dass ein CVE in freier Wildbahn ausgenutzt wird.
- KEV (Known Exploited Vulnerabilities) – eine Liste von CVEs, die bereits ausgenutzt werden. Steht ein CVE auf KEV, patchen Sie ihn jetzt.
Ein „mittlerer“ CVSS auf der KEV-Liste kann weitaus dringender sein als ein „kritischer“, den niemand ausnutzt.
Warum das wichtig ist
Es gibt jedes Jahr Zehntausende neuer CVEs – Sie können nicht alles auf einmal patchen. Kluge Priorisierung = Schweregrad (CVSS) × Wahrscheinlichkeit (EPSS/KEV) × Exponierung (ist es aus dem Internet erreichbar?). Die meisten realen Angriffe nutzen bekannte CVEs, die schlicht nicht rechtzeitig gepatcht wurden, keine exotischen Zero-Days.
Verfolgen Sie die relevanten
Wir pflegen einen aktuellen CVE-Tracker mit den neuesten Schwachstellen, Schweregraden und Ausnutzungssignalen – eine schnelle Möglichkeit, bei aufkommenden Bedrohungen den Überblick zu behalten.
Um zu verstehen, wie diese Lücken gefunden und verifiziert werden, lesen Sie Was ist Penetration Testing? oder starten Sie die kostenlose Pentevo Academy.
Häufig gestellte Fragen
Was bedeutet CVE?
CVE steht für Common Vulnerabilities and Exposures und ist ein eindeutiger Bezeichner für eine spezifische, öffentlich bekannte Sicherheitslücke. Er dient als gemeinsame Sprache, mit der Hersteller, Verteidiger und Tools ohne Verwechslung auf dieselbe Schwachstelle verweisen. Die ID selbst trägt keinen Schweregrad – sie ist lediglich ein Name.
Was ist der Unterschied zwischen CVE und CVSS?
Ein CVE ist der Bezeichner einer Schwachstelle, während CVSS (Common Vulnerability Scoring System) deren Schweregrad auf einer Skala von 0 bis 10 misst. Der CVE benennt die Lücke; der CVSS-Wert sagt, wie schlimm sie sein könnte. Ein CVE kann existieren, bevor ihm ein endgültiger CVSS-Wert zugewiesen wird.
Was sind EPSS und KEV?
EPSS ist die Wahrscheinlichkeit, dass ein CVE tatsächlich in freier Wildbahn ausgenutzt wird, während KEV (Known Exploited Vulnerabilities) eine Liste von CVEs ist, die bereits aktiv ausgenutzt werden. Steht ein CVE auf der KEV-Liste, sollten Sie ihn sofort patchen. Ein „mittlerer“ CVSS auf der KEV-Liste kann dringender sein als ein „kritischer“, den niemand ausnutzt.
Wie priorisiere ich, welche CVEs zuerst zu patchen sind?
Kombinieren Sie drei Faktoren: Schweregrad (CVSS), Ausnutzungswahrscheinlichkeit (EPSS/KEV) und Exponierung (ist das System aus dem Internet erreichbar?). Die meisten realen Angriffe nutzen bekannte CVEs, die schlicht nicht rechtzeitig gepatcht wurden – nicht exotische Zero-Days. Kluge Priorisierung schützt mehr als der Versuch, alles gleichzeitig zu beheben.
Weiterführende Artikel
Zero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsVPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsWas ist eine Firewall? Typen & Funktionsweise (2026)
Eine klare Erklärung von Firewalls — was sie tun, die wichtigsten Typen (Paketfilter, Stateful, NGFW, WAF) und wie sie in eine mehrschichtige Verteidigung passen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen