Jeden Tag durchlaufen Sicherheits-Teams weltweit eine frustrierende Routine: Ein Schwachstellenscanner liefert Hunderte oder gar Tausende Treffer. Die Standardlösung? Die Liste wird nach CVSS-Score sortiert – und los geht’s. Doch dieser Ansatz ist selten zielführend und verschwendet wertvolle Zeit. Warum? Weil CVSS zwar die theoretische Gefährlichkeit misst, aber keine Auskunft darüber gibt, welche Schwachstellen tatsächlich ausgenutzt werden.
CVSS: Nützlich, aber nicht ausreichend
Das Common Vulnerability Scoring System (CVSS) bewertet, wie schwerwiegend eine Schwachstelle theoretisch sein könnte. Es fragt: Wie schlimm könnte es im schlimmsten Fall werden? Doch es beantwortet nicht die entscheidende Frage: Wird diese Schwachstelle gerade aktiv ausgenutzt?
Ein Beispiel: Eine CVSS-9.8-Schwachstelle in einer isolierten Testumgebung ohne Internetzugang ist weniger dringlich als eine CVSS-7.0-Lücke auf einem öffentlich erreichbaren Webserver – selbst wenn Letztere „nur“ mit 7.0 bewertet wird, solange Angreifer sie gerade ausnutzen. CVSS allein kann diesen Unterschied nicht erkennen, da es keine Echtzeit-Informationen über aktive Angriffe liefert.
KEV-Katalog: Wo Angreifer bereits zuschlagen
Die Cybersecurity and Infrastructure Security Agency (CISA) pflegt eine Liste mit dem Namen Known Exploited Vulnerabilities (KEV). Diese Datenbank enthält ausschließlich Schwachstellen, die nachweislich in der Praxis ausgenutzt werden. Jeder Eintrag ist ein klares Warnsignal: Hier handelt es sich um eine akute Bedrohung.
Zum Zeitpunkt der Erstellung dieses Artikels umfasst der KEV-Katalog nur einen Bruchteil aller bekannten Schwachstellen – doch diese wenigen sind die gefährlichsten. Im Vergleich zu den 4.800 Treffern eines typischen Nessus-Scans befinden sich vielleicht nur 19 Einträge im KEV-Katalog. Diese 19 sollten Priorität haben, nicht die 200 als „kritisch“ eingestuften CVSS-Treffer.
EPSS: Prognosen für zukünftige Angriffe
Das Exploit Prediction Scoring System (EPSS), entwickelt vom Forum of Incident Response and Security Teams (FIRST), nutzt maschinelles Lernen, um vorherzusagen, wie wahrscheinlich eine Schwachstelle in den nächsten 30 Tagen ausgenutzt wird. Während CVSS die theoretische Schwere misst, gibt EPSS eine Einschätzung der tatsächlichen Bedrohung.
- Ein hoher EPSS-Wert deutet auf eine hohe Wahrscheinlichkeit hin, dass die Schwachstelle bald ausgenutzt wird.
- Ein niedriger EPSS-Wert bedeutet, dass ein Ausnutzen unwahrscheinlich ist – selbst bei hohem CVSS-Score.
Diese Prognose hilft Sicherheits-Teams, ihre Ressourcen gezielt dort einzusetzen, wo die Gefahr am größten ist.
Praktisches Beispiel: Log4Shell im Vergleich
Die Schwachstelle CVE-2021-44228 (Log4Shell) ist ein klassisches Beispiel:
- CVSS: 10.0 (maximale Bewertung)
- KEV: Ja – bestätigt ausgenutzt
- EPSS: Sehr hoch
Betrachten wir nun eine fiktive CVSS-9.8-Schwachstelle in einer obskuren Bibliothek:
- Kein öffentlicher Exploit-Code verfügbar
- Kein KEV-Eintrag
- EPSS-Wert sehr niedrig
Auf einer nach CVSS sortierten Liste würde diese Schwachstelle über Log4Shell stehen. Doch in der Realität ist sie weniger dringlich – solange keine aktiven Angriffe bekannt sind. Erst KEV und EPSS ermöglichen diese Unterscheidung.
Die Lösung: Composite Scoring mit KEV, EPSS und CVSS
Tools wie VulnPilot kombinieren KEV, EPSS, CVSS und Scanner-Ergebnisse zu einer transparenten Bewertung, die auf echten Risiken basiert. Die Gewichtung der Faktoren lautet:
- CISA KEV: 40 % – Aktive Ausnutzung
- FIRST EPSS: 35 % – Wahrscheinlichkeit eines Angriffs
- CVSS: 15 % – Theoretische Schwere
- Scanner-Bewertung: 10 % – Zusätzlicher Kontext
Ein KEV-Eintrag erhält automatisch die maximale Priorität (100 von 100 Punkten), unabhängig von anderen Faktoren. Das bedeutet: Keine weitere Analyse nötig – sofort patchen.
Wie VulnPilot funktioniert
VulnPilot verarbeitet lokale Scan-Ergebnisse (z. B. aus Nessus) und kombiniert sie mit öffentlichen Bedrohungsdaten – ohne dass sensible Informationen das eigene Netzwerk verlassen:
Nessus-CSV (lokal) │ ▼ VulnPilot CLI
│
├── CISA KEV (heruntergeladen von cisa.gov)
├── FIRST EPSS (heruntergeladen von first.org)
├── CVSS (aus Scan-Daten)
└── ▼ Composite Score
▼ Priorisierter BerichtNur öffentlich zugängliche Bedrohungsdaten werden heruntergeladen. Die Scan-Ergebnisse bleiben auf dem eigenen System – ein entscheidender Vorteil für Datenschutz und Compliance.
Ein Blick in die Praxis: Priorisierung in Echtzeit
Stellen wir uns vor, ein Sicherheits-Team führt einen Scan mit 4.847 Treffern durch. Mit VulnPilot sieht die Priorisierung wie folgt aus:
Gesamtzahl der Treffer: 4.847
KEV-Übereinstimmungen: 19 ← sofort patchen
EPSS ≥ 90 %: 31Die Top-Prioritäten:
| Score | Priorität | CVE | Schwachstelle | |---------|-----------------|-------------------|------------------------------| | 100.0 | KRITISCH | CVE-2021-44228 | Log4Shell (KEV) | | 100.0 | KRITISCH | CVE-2023-34362 | MOVEit SQLi (KEV) | | 99.8 | KRITISCH | CVE-2020-1472 | Zerologon (KEV) | | 11.5 | NIEDRIG | – | SSH-Schwache Chiffren |
Während die SSH-Schwachstelle in der CVSS-Sortierung ganz oben stehen könnte, landet sie bei dieser Methode ganz unten – genau dort, wo sie hingehört. Sie ist weder im KEV-Katalog noch hat sie einen hohen EPSS-Wert.
Manuelle Priorisierung kostet Zeit – und Sicherheit
Viele Teams verbringen Stunden pro Scan-Zyklus mit manuellen Schritten:
- Export der Nessus-CSV-Datei
- Öffnen in Excel
- Sortieren nach CVSS-Score
- Manuelles Prüfen des KEV-Katalogs
- Abrufen der EPSS-Werte
- Erstellen einer Prioritätenliste
Diese Prozedur wiederholt sich wöchentlich – mit hohem Zeitaufwand und ohne Garantie, dass die richtigen Schwachstellen zuerst behoben werden. Die Daten existieren bereits. Die Herausforderung liegt darin, sie automatisch und lokal zu verarbeiten.
Warum lokale Verarbeitung entscheidend ist
Vulnerability-Scan-Ergebnisse enthalten oft interne Hostnamen, IP-Adressen und detaillierte Infrastruktur-Informationen. Viele Unternehmen verbieten die Weitergabe solcher Daten an Drittanbieter. Eine einfache Nessus-CSV-Datei ist im Grunde eine Landkarte aller Schwachstellen im Netzwerk.
VulnPilot analysiert die Scan-Daten ausschließlich lokal. Nur öffentlich verfügbare Bedrohungsdaten werden heruntergeladen. Keine sensiblen Informationen verlassen das eigene System – ein entscheidender Vorteil für Datensicherheit und Compliance.
Grenzen von VulnPilot: Ehrlichkeit statt Übertreibung
Kein Tool ist perfekt. VulnPilot bietet eine transparente Lösung für die Schwachstellenpriorisierung, ersetzt jedoch keine menschliche Überprüfung:
- API-Limits: Bei sehr großen Umgebungen können die Abrufraten der öffentlichen Feeds begrenzt sein.
- Falsch-positive KEV-Einträge: Nicht jeder KEV-Eintrag ist zwangsläufig für jedes Unternehmen relevant.
- Lokale Anpassungen: Die Gewichtung der Faktoren sollte regelmäßig überprüft und angepasst werden.
Doch genau diese Transparenz macht das Tool vertrauenswürdig – im Gegensatz zu Blackbox-Lösungen, die ihre Algorithmen nicht offenlegen.
Die Zukunft der Schwachstellenpriorisierung liegt nicht in der reinen Bewertung nach CVSS, sondern in der Kombination aus Echtzeit-Bedrohungsdaten und maschinellen Prognosen. Tools wie VulnPilot zeigen, wie Sicherheits-Teams ihre Ressourcen effizienter einsetzen und echte Risiken schneller erkennen können – ohne auf teure Drittanbieter vertrauen zu müssen. Wer heute noch nach CVSS sortiert, handelt nicht nur ineffizient, sondern riskiert auch, kritische Lücken zu übersehen.
KI-Zusammenfassung
Stop wasting time on high-CVSS vulnerabilities that aren’t exploited. Learn how KEV and EPSS prioritize real-world threats for faster, smarter patching.