Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit seit Jahren stark zu. Die Angreifer nutzen dabei Schwachstellen in Produktionssystemen, Steuerungen oder anderen vernetzten Systemen aus. Um solche Sicherheitsl\u00fccken z\u00fcgig zu schlie\u00dfen und betroffene Anwender zuverl\u00e4ssig \u00fcber Sicherheitshinweise (Advisories) zu informieren, steht das CERT@VDE seit acht Jahren als Kompetenzplattform seinen Partnern zur Seite. Jetzt ist CERT@VDE zur zentralen Anlaufstelle im globalen CVE-Programm f\u00fcr seine Partner aufgestiegen: ein starkes Signal f\u00fcr mehr Cybersecurity in der Industrie.<\/p>\n
Sicherheitsl\u00fccken in Industrieprodukten finden sich in der Strom- und Wasserversorgung, in Krankenh\u00e4usern oder in gro\u00dfen Fertigungsst\u00e4tten. Wenn Angreifer diese L\u00fccken ausnutzen, kann das weitreichende und schwerwiegende Folgen f\u00fcr Mensch, Umwelt und Gesellschaft haben. Um dies effektiv zu verhindern, m\u00fcssen die Schwachstellen weltweit systematisch erfasst und benannt werden. Hierzu wurde vor mehr als 25 Jahren in den USA das sogenannte CVE-System etabliert \u2013 CVE steht f\u00fcr \u201eCommon Vulnerabilities and Exposures\u201c. Dort ist jede bekannte Schwachstelle mit einer eindeutigen Kennung im Herzst\u00fcck des Systems, der CVE-Datenbank, hinterlegt. Damit lassen sich im komplexen Prozess der Schwachstellenbehandlung fatale Missverst\u00e4ndnisse vermeiden.<\/p>\n
Das CVE-System als weltweit f\u00fchrender Industriestandard erm\u00f6glicht Experten und Unternehmen seit 1999 auf Basis einer einheitlichen Syntax gezielt und schnell zu reagieren, Probleme unverz\u00fcglich zu erkennen und hersteller\u00fcbergreifend zu beheben. Stabilit\u00e4t im System<\/p>\n
Eine einheitliche Syntax allein reicht allerdings nicht aus, um Ordnung und Effizienz bei der Vergabe von CVE-IDs zu gew\u00e4hrleisten. Damit diese nicht unkontrolliert verteilt werden, sind nur bestimmte Organisationen und Unternehmen \u2013 sogenannte \u201eCVE Numbering Authorities (CNAs)\u201c \u2013 dazu berechtigt, CVE-IDs zu vergeben. Diese CNAs teilen die Zust\u00e4ndigkeiten f\u00fcr verschiedene Produkte und Anwendungsbereiche untereinander klar auf. CERT@VDE agiert bereits seit 2020 als CNA f\u00fcr seine Kooperationspartner und erarbeitete sich in zahlreichen Audits der NIST (National Institute of Standards and Technology, USA) den h\u00f6chsten Qualit\u00e4tsstandard f\u00fcr die eigenen CVEs in der NVD (National Vulnerability Database). NVD ist eine staatliche US-Datenbank, die vom NIST betrieben wird. Sie erg\u00e4nzt das CVE-System um technische Details und Bewertungen.<\/p>\n
Hierarchisch \u00fcber den CNAs angeordnet sind sogenannte Root-CNAs. Dazu geh\u00f6ren MITRE, CISA, Google, Red Hat aus den USA, das japanische JPCERT\/CC, das spanische INCIBE Cert sowie der Thales Konzern aus Frankreich \u2013 und seit Mitte Juli 2025 nun auch das CERT@VDE als erste Root-CNA in Deutschland. In dieser neuen Rolle wird das CERT@VDE im Wesentlichen das CVE-Vergabesystem f\u00fcr seine Partner strukturieren, beaufsichtigen und koordinieren. Im Einzelnen geh\u00f6ren dazu die Identifizierung, Auswahl, Ernennung und Betreuung untergeordneter CNAs aus dem Kreis der CERT@VDE Partner, aber auch die Schulung und das Onboarding dieser neuen CNAs. Zudem wird sichergestellt, dass die CVE-Richtlinien und Prozesse eingehalten und Abl\u00e4ufe, Richtlinien und Standards f\u00fcr die Vergabe und Verwaltung der CVE-IDs weiterentwickelt werden.<\/p>\n
Eine weitere wichtige Funktion der Root-CNA ist die Konfliktl\u00f6sung: \u201eWir werden bei Unklarheiten oder Streitigkeiten zwischen CNAs (z.\u202fB. bei Zust\u00e4ndigkeiten f\u00fcr bestimmte Produkte) vermittelnd eingreifen und Qualit\u00e4t sowie Vollst\u00e4ndigkeit der CVE-Eintr\u00e4ge unserer Partner kontrollieren\u201c, erkl\u00e4rt Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE.\u00a0\u201eAls erste Root-CNA in Deutschland sind wir nicht nur die direkte Kontaktstelle f\u00fcr unsere Kooperationspartner in derselben Zeitzone \u2013 wir sind auch selbst Teil des internationalen, f\u00f6deralen CVE-Systems und ver\u00f6ffentlichen Schwachstellen nach einem koordinierten Ver\u00f6ffentlichungsprozess\u201c, erg\u00e4nzt Andreas Harner, Abteilungsleiter CERT@VDE. \u201eDie Vorteile f\u00fcr unsere Kooperationspartner sind offensichtlich: Sie zeigen durch ein ausgereiftes Schwachstellenmanagement gegen\u00fcber bestehenden und potenziellen Kunden einen erh\u00f6hten Reifegrad im Cybersecurity-Bereich. Zudem behalten sie die Kontrolle \u00fcber den Ver\u00f6ffentlichungsprozess von CVEs f\u00fcr Schwachstellen in ihren Produkten.\u201c<\/p>\n
Durch seine neue Rolle ist CERT@VDE nun ein Knotenpunkt im weltweiten Netz der Schwachstellenkoordination \u2013 sowohl f\u00fcr KMU als auch f\u00fcr den industriellen Mittelstand. Die Plattform bringt das n\u00f6tige Fachwissen und das Vertrauen aus der Industrie mit. \u201eAllerdings war der Weg zur Root-CNA kein Selbstl\u00e4ufer, sondern das Ergebnis einer monatelangen Vorbereitung inklusive mehrerer Audit-Sitzungen mit CISA und MITRE\u201c, betont Jochen Becker. Andreas Harner fasst zusammen: \u201eDadurch, dass wir als erste Root-CNA in Deutschland anerkannt wurden, setzen wir ein deutliches Signal f\u00fcr die internationale Sichtbarkeit der deutschen Industrie im Bereich Cybersecurity.\u201c<\/p>\n
Cyber-Angriff.png CVE steht f\u00fcr \u201eCommon Vulnerabilities and Exposures\u201c. Dahinter steckt eine Liste weltweit gemeldeter Sicherheitsl\u00fccken, die von daf\u00fcr autorisierten Stellen mit einem offiziellen Eintrag versehen werden. Diese Stellen hei\u00dfen CNAs (CVE Numbering Authorities), sie vergeben CVE-Nummern (CVE-IDs) f\u00fcr Schwachstellen in einem definierten Bereich, also f\u00fcr bestimmte Produkte oder Hersteller. Eine Root-CNA ist eine \u00fcbergeordnete Organisation, die dabei unterst\u00fctzt, bekannte Sicherheitsl\u00fccken in Computerprogrammen oder Ger\u00e4ten zu erfassen und zu benennen. Sie weist ebenfalls CVE-IDs zu, beaufsichtigt und schult aber zus\u00e4tzlich andere CNAs. Root-CNAs sorgen f\u00fcr Struktur und Qualit\u00e4t im CVE-System.<\/p>\n","protected":false},"excerpt":{"rendered":"
Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit seit Jahren stark zu. Die Angreifer nutzen dabei Schwachstellen in Produktionssystemen, Steuerungen oder anderen vernetzten Systemen aus. Um solche Sicherheitsl\u00fccken z\u00fcgig zu schlie\u00dfen und betroffene Anwender zuverl\u00e4ssig \u00fcber Sicherheitshinweise (Advisories) zu informieren, steht das CERT@VDE seit acht Jahren als Kompetenzplattform seinen Partnern zur Seite. Jetzt ist CERT@VDE […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,10,11],"tags":[],"class_list":["post-1675","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-recht-gesetz","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1675"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1675\/revisions"}],"predecessor-version":[{"id":1676,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1675\/revisions\/1676"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}