CVSS, EPSS und CISA KEV: Welche Sicherheitslücken wirklich zuerst dran sind
Wer regelmäßig Sicherheitsmeldungen liest, sieht schnell nur noch rote Zahlen: CVSS 9.8, kritisch, remote ausnutzbar, sofort patchen. Das Problem: In einem echten Unternehmen gibt es nicht eine Schwachstelle, sondern viele. Betriebssysteme, Browser, Firewalls, VPN, NAS, Drucker, Fachsoftware, Cloud-Dienste – überall erscheinen regelmäßig Updates.
Die entscheidende Frage ist deshalb nicht: „Ist diese Lücke schlimm?“ Sondern: Welche Lücke muss zuerst behandelt werden?
Dabei helfen drei Begriffe, die man kennen sollte: CVSS, EPSS und CISA KEV.
CVSS: Wie schlimm wäre die Lücke?
CVSS steht für Common Vulnerability Scoring System. Der Score bewertet technische Eigenschaften einer Schwachstelle auf einer Skala von 0 bis 10.
In die Bewertung fließen unter anderem ein:
- Ist die Lücke über das Netzwerk ausnutzbar?
- Braucht der Angreifer ein Benutzerkonto?
- Ist Nutzerinteraktion erforderlich?
- Welche Auswirkungen hat ein erfolgreicher Angriff?
- Geht es um Datenverlust, Manipulation oder vollständige Kontrolle?
Ein CVSS-Wert von 9.8 bedeutet: technisch sehr kritisch. Das ist wichtig. Aber CVSS sagt nicht automatisch, dass diese Schwachstelle in Ihrer Umgebung die dringendste ist.
Warum? Weil CVSS nicht weiß, ob das Produkt bei Ihnen eingesetzt wird, ob es aus dem Internet erreichbar ist oder ob Angreifer die Lücke bereits aktiv ausnutzen.
CVSS beantwortet also vor allem: Wie schlimm könnte es werden?
EPSS: Wie wahrscheinlich ist Ausnutzung?
EPSS steht für Exploit Prediction Scoring System. Es versucht einzuschätzen, wie wahrscheinlich es ist, dass eine bekannte Schwachstelle innerhalb der nächsten Zeit tatsächlich ausgenutzt wird.
Das ist ein anderer Blickwinkel als CVSS. Eine Schwachstelle kann technisch kritisch sein, aber in der Praxis kaum angegriffen werden. Eine andere ist vielleicht „nur“ hoch bewertet, wird aber bereits breit gescannt und automatisiert ausgenutzt.
Für die Priorisierung ist das wertvoll. Denn Patch-Zeit ist begrenzt. Wer zuerst die Lücken schließt, die realistisch angegriffen werden, reduziert sein tatsächliches Risiko schneller.
EPSS beantwortet also eher: Wie wahrscheinlich ist es, dass diese Lücke wirklich ausgenutzt wird?
CISA KEV: Wird die Lücke bereits ausgenutzt?
CISA KEV ist der Known Exploited Vulnerabilities Catalog der US-Cybersicherheitsbehörde CISA. Dort landen Schwachstellen, die nachweislich aktiv ausgenutzt werden.
Für die Praxis ist diese Liste besonders relevant. Wenn eine Schwachstelle dort auftaucht, ist sie nicht mehr nur theoretisch. Dann gibt es Angriffe, Kampagnen oder zumindest belastbare Hinweise auf aktive Ausnutzung.
Auch wenn CISA eine US-Behörde ist, ist die Liste weltweit hilfreich. Angreifer halten sich nicht an Ländergrenzen. Eine aktiv ausgenutzte Lücke in VPN-Gateways, Firewalls oder Webservern ist auch für deutsche Unternehmen relevant.
CISA KEV beantwortet: Ist diese Lücke bereits Teil realer Angriffe?
Warum ein einzelner Wert nicht reicht
Ein häufiger Fehler ist, nur nach CVSS zu sortieren. Dann werden alle 9.x-Lücken sofort als gleich dringend betrachtet. Das führt zu Stress, aber nicht unbedingt zu besserer Sicherheit.
Ein besseres Modell kombiniert mehrere Faktoren:
| Faktor | Frage |
|---|---|
| CVSS | Wie schwer ist die Schwachstelle technisch? |
| EPSS | Wie wahrscheinlich ist Ausnutzung? |
| KEV | Wird sie bereits aktiv ausgenutzt? |
| Exposition | Ist unser System aus dem Internet erreichbar? |
| Kritikalität | Wie wichtig ist das System für den Betrieb? |
| Kompensierende Maßnahmen | Gibt es Firewall-Regeln, Segmentierung oder Workarounds? |
Erst diese Kombination ergibt ein realistisches Bild.
Ein Praxisbeispiel
Stellen wir uns zwei Schwachstellen vor:
Lücke A hat CVSS 9.8, betrifft aber eine interne Anwendung, die nur in einem stark eingeschränkten Admin-Netz erreichbar ist. Es gibt keinen bekannten Exploit, EPSS ist niedrig.
Lücke B hat CVSS 8.1, betrifft ein VPN-Gateway, das öffentlich erreichbar ist. Die Lücke steht in CISA KEV, es gibt aktive Scans.
Welche Lücke gehört zuerst behandelt?
In der Praxis fast immer Lücke B. Nicht weil Lücke A harmlos ist, sondern weil Lücke B akuter ist. Sie sitzt am Rand des Netzes, ist erreichbar und wird aktiv angegriffen.
Das ist der Unterschied zwischen theoretischer Schwere und betrieblichem Risiko.
Priorisierung für kleine Unternehmen
KMU brauchen kein riesiges Vulnerability-Management-System, um besser zu priorisieren. Ein pragmatischer Ablauf reicht oft:
- Liste aller Systeme und Dienste pflegen
- Internet-erreichbare Systeme besonders markieren
- Hersteller- und Sicherheitsmeldungen beobachten
- CVSS als Schweregrad nutzen
- KEV und Exploit-Hinweise als Dringlichkeitsverstärker nutzen
- Kritische Patches in feste Wartungs- oder Notfallprozesse überführen
Besonders wichtig sind Systeme an der Außengrenze:
- Firewalls
- VPN-Gateways
- Remote-Desktop-Zugänge
- Webserver
- Mailserver
- NAS mit externem Zugriff
- Fernwartungssoftware
Diese Systeme verdienen mehr Aufmerksamkeit als ein einzelner Arbeitsplatzrechner ohne besondere Rechte.
Was ist mit Systemen, die nicht sofort gepatcht werden können?
Nicht jedes System lässt sich sofort aktualisieren. Manchmal hängt eine Fachanwendung daran, manchmal fehlt ein Wartungsfenster, manchmal ist ein Update riskant.
Dann braucht es kompensierende Maßnahmen:
- Zugriff per Firewall einschränken
- VPN statt direkter Veröffentlichung nutzen
- Admin-Oberflächen aus dem Internet entfernen
- Netzwerksegmentierung verbessern
- Zusätzliche Protokollierung aktivieren
- Temporäre Workarounds des Herstellers prüfen
Wichtig ist: „Kann nicht sofort gepatcht werden“ darf nicht bedeuten „wird vergessen“.
Fazit
CVSS, EPSS und CISA KEV sind keine Konkurrenz, sondern ergänzen sich. CVSS beschreibt die technische Schwere, EPSS die Wahrscheinlichkeit der Ausnutzung, CISA KEV den Nachweis realer Angriffe.
Wer diese Signale kombiniert und zusätzlich die eigene Umgebung berücksichtigt, patcht nicht hektischer, sondern besser.
Wenn Sie Unterstützung beim Aufbau einer pragmatischen Patch- und Risiko-Priorisierung brauchen, melden Sie sich gerne.