CVE-Scanning richtig gemacht

Security

Vulnerability Management

CVE-Scanning richtig gemacht

NVD, CVSS, KEV und EPSS – was Admins wirklich brauchen

Jede Woche werden Hunderte neue CVEs veröffentlicht. Wer als Admin den Überblick behalten will, welche davon die eigene Umgebung wirklich betreffen, steht vor zwei Problemen: Datenqualität und Bewertbarkeit. Die meisten Online-Scanner liefern entweder veraltete Informationen, ungenaue Treffer oder verlangen den Upload sensibler Asset-Listen in fremde Clouds.

Der ISW CVE Vulnerability Scanner setzt deshalb auf einen anderen Ansatz: direkte Anbindung an die offizielle NVD-API des NIST, vollständige Unterstützung aller drei aktuellen CVSS-Versionen (v4.0, v3.1, v2.0), zusätzlich Anreicherung mit dem CISA-KEV-Katalog und EPSS-Werten – und das alles bei konsequent lokaler Datenhaltung, ohne Cloud-Abhängigkeit.

💡 Warum NVD?
Die National Vulnerability Database des NIST ist die maßgebliche Quelle für CVE-Informationen weltweit. Jede CVE-ID, jeder CVSS-Score und jede CPE-Zuordnung wird dort gepflegt – und über die offizielle API in Echtzeit bereitgestellt.

Drei CVSS-Versionen – warum das wichtig ist

Viele CVEs existieren seit Jahren und tragen historische CVSS-v2.0-Scores. Andere wurden mit v3.1 nachbewertet, die neuesten Einträge bekommen v4.0. Ein Scanner, der nur eine Version unterstützt, liefert für einen Teil der Datenbasis schlicht keine Bewertung – oder schlimmer: eine falsche.

CVSS v4.0 – der neue Standard

Veröffentlicht 2023, mit deutlich verfeinerten Metriken für moderne Bedrohungslagen: Threat-Metrics, Environmental-Metrics und Supplemental-Metrics liefern erstmals eine differenzierte Bewertung statt nur eines einzelnen Base-Scores.

CVSS v3.1 – der Arbeitspferd-Standard

Seit 2019 die dominante Version in fast allen Vulnerability-Reports. Die meisten aktuellen CVEs (Stand heute) tragen primär einen v3.1-Score – und genau hier liegt der Bewertungsmittelpunkt für laufende Patch-Prozesse.

CVSS v2.0 – weil Altlasten existieren

Ältere CVEs, besonders aus Pre-2016-Zeiten, tragen oft ausschließlich v2.0-Scores. Wer Legacy-Systeme oder lange laufende Industrie-Software bewertet, kommt an v2.0 nicht vorbei.

Über CVSS hinaus: KEV und EPSS

CVSS sagt dir, wie schwer eine Schwachstelle technisch ist. Aber nicht, ob sie aktiv ausgenutzt wird oder ob sie es wahrscheinlich bald wird. Genau diese Lücke schließen zwei moderne Standards, die der ISW CVE Vulnerability Scanner zusätzlich zur klassischen CVSS-Bewertung integriert: KEV und EPSS.

KEV – Known Exploited Vulnerabilities (CISA)

Die Cybersecurity and Infrastructure Security Agency (CISA) pflegt einen öffentlichen Katalog von CVEs, deren aktive Ausnutzung in freier Wildbahn nachgewiesen ist. Steht eine CVE auf der KEV-Liste, ist sie nicht theoretisch, sondern real gefährlich – Angreifer nutzen sie nachweislich gerade jetzt.

US-Bundesbehörden sind über die Direktive BOD 22-01 sogar verpflichtet, KEV-Einträge innerhalb fester Fristen zu patchen. Für Admins außerhalb der USA ist KEV trotzdem eine der wichtigsten Priorisierungsquellen überhaupt: Was hier steht, gehört oben auf den Patch-Stapel.

EPSS – Exploit Prediction Scoring System (FIRST.org)

EPSS liefert einen täglich aktualisierten Wahrscheinlichkeitswert zwischen 0 und 1 dafür, wie wahrscheinlich eine CVE in den kommenden 30 Tagen ausgenutzt wird. Der Score basiert auf realen Telemetriedaten, Exploit-Code-Verfügbarkeit und beobachteten Bedrohungsindikatoren.

Beispiel: Eine CVE mit EPSS 0.92 hat eine 92-prozentige Wahrscheinlichkeit, in den nächsten 30 Tagen tatsächlich angegriffen zu werden – eine ganz andere Aussage als ein statischer Severity-Score.

💡 Die Kombination ist entscheidend
CVSS = Wie schwer ist es?
EPSS = Wie wahrscheinlich wird es ausgenutzt?
KEV = Wird es bereits ausgenutzt?

Eine CVE mit CVSS 9.8, aber EPSS 0.001 und ohne KEV-Eintrag ist im Alltag oft weniger akut als eine CVE mit CVSS 7.5, EPSS 0.85 und aktivem KEV-Eintrag. Genau diese Differenzierung macht aus einem CVE-Scanner ein echtes Priorisierungs-Tool – und genau deshalb sind KEV und EPSS im ISW CVE Vulnerability Scanner gleichberechtigt neben CVSS verfügbar, sortier- und filterbar.

Was den ISW CVE Scanner ausmacht

🔍 Direkte NVD-API-Anbindung

Echtzeit-Abfragen gegen die offizielle NIST-Datenbank. Keine Zwischenspeicherung in Drittclouds, keine ausgelagerten Indizes. Optional mit eigenem NVD-API-Key für höhere Rate-Limits.

🎯 Multi-Version-Scoring

Jede CVE wird parallel mit allen verfügbaren CVSS-Versionen angezeigt. So siehst du sofort, ob ein historischer v2.0-Score von 5.0 in v3.1 plötzlich als 9.8 (Critical) eingestuft wird – ein Fall, der häufiger vorkommt, als man denkt.

🔥 KEV- & EPSS-Anreicherung

Jede CVE wird automatisch gegen den CISA-KEV-Katalog abgeglichen und mit dem aktuellen EPSS-Score angereichert. Sortier- und filterbar nach KEV-Status, EPSS-Wahrscheinlichkeit und EPSS-Perzentil – ideal, um den Patch-Stapel realitätsnah zu priorisieren.

📊 Präzises Filtering

Filter nach Schweregrad (Critical, High, Medium, Low), Veröffentlichungsdatum, Hersteller, Produkt, CPE-String oder Stichwort. Ergebnislisten lassen sich exportieren oder direkt in PDF-/HTML-Reports überführen.

📧 Automatisierte Reports

PDF- und HTML-Reports mit Titelseite, Inhaltsverzeichnis, Severity-Verteilung und Detailseiten pro CVE. SMTP-Versand direkt aus dem Tool an Patch-Verantwortliche oder Security-Teams.

🔒 Lokale Datenhaltung

Sämtliche Scan-Ergebnisse, Asset-Listen und Konfigurationen bleiben auf dem Admin-Rechner. Zugangsdaten werden mit AES-256 verschlüsselt – keine DPAPI, keine Cloud-Synchronisation.

Typische Anwendungsfälle

  • Wöchentlicher Patch-Review: Welche neuen Critical-CVEs betreffen unseren Software-Bestand?
  • Realistische Priorisierung: Welche CVEs stehen auf der KEV-Liste oder haben einen hohen EPSS-Score – sind also jetzt wirklich gefährlich?
  • Lieferanten-Audit: Welche bekannten Schwachstellen tragen die eingesetzten Produkte eines bestimmten Herstellers?
  • Compliance-Reporting: Nachweis gegenüber Auditoren, dass CVEs systematisch und dokumentiert bewertet werden.
  • Reaktion auf akute Meldungen: Schnelle Detail-Recherche zu einer konkreten CVE-ID inklusive aller CVSS-Versionen und Referenzen.
  • Legacy-Bewertung: Re-Scoring alter CVEs in modernen CVSS-Versionen, um historische Risiken neu zu beurteilen.

⚠ CVSS allein ist nicht genug
Ein hoher CVSS-Score bedeutet nicht automatisch, dass eine Schwachstelle in deiner Umgebung akut ist. Erst die Kombination aus Severity (CVSS), Ausnutzungswahrscheinlichkeit (EPSS) und nachgewiesener aktiver Ausnutzung (KEV) ergibt eine belastbare Risikobewertung. Genau deshalb integriert der ISW CVE Vulnerability Scanner alle drei Standards parallel.

Technische Eckdaten

  • Plattform: Windows 10/11 und Windows Server 2016+
  • Framework: WPF/.NET 10 mit nativer DPI-Unterstützung
  • Datenquellen: NVD (NIST), CISA-KEV-Katalog, EPSS (FIRST.org)
  • CVSS-Versionen: v4.0, v3.1, v2.0 parallel
  • Priorisierung: KEV-Status und EPSS-Score je CVE
  • Reports: PDF und HTML mit ISW Corporate Design
  • Versand: SMTP (TLS/SSL) direkt aus dem Tool
  • Verschlüsselung: AES-256 für alle Zugangsdaten

CVE-Management ohne Cloud-Abhängigkeit

Direkt aus der NVD, mit allen CVSS-Versionen, angereichert um KEV und EPSS, lokal gespeichert und nach ISW Corporate Design dokumentiert – der ISW CVE Vulnerability Scanner bringt Vulnerability Management dorthin, wo es hingehört: in deine Hand.

Jetzt zum CVE Scanner→

© IT-Service Walter · isw-adtools.de · der-windows-papst.de