Sicherheitslücken gehören zum Alltag in der IT. Doch wie gelangen sie eigentlich in die weltweit bekannte CVE-Liste? Die Idee dahinter entstand bereits 1999, als David E. Mann und Steven M. Christey ein einheitliches System zur Beschreibung von Schwachstellen vorschlugen. Damals startete alles mit nur 321 Einträgen. Heute umfasst die Liste über 300.000 CVEs. Die Struktur der Einträge wird durch das aktuelle CVE-Schema in Version 5 bestimmt. Dieses Schema legt fest, welche Informationen ein Datensatz mindestens enthalten muss.
Der Ablauf beginnt immer damit, dass jemand eine Sicherheitslücke entdeckt. Das kann in Unternehmen, Forschungsteams oder beim privaten Umgang mit Software passieren. Wird klar, dass es sich um eine echte Schwachstelle handelt, wird sie an eine geeignete Organisation im CVE-Programm gemeldet. Weltweit existieren rund 480 dieser Partnerorganisationen. Jede von ihnen hat einen eigenen Zuständigkeitsbereich. Passt die Meldung dorthin, wird eine CVE-ID reserviert. Ein Beispiel dafür wäre „CVE-2025-1337“. Zu diesem Zeitpunkt ist der Eintrag noch nicht öffentlich sichtbar. Er dient zunächst als Platzhalter, um den weiteren Umgang mit der Schwachstelle koordinieren zu können.
In dieser Phase stimmen Hersteller, Sicherheitsteams und Forschende ihr Vorgehen ab. Patches werden vorbereitet. Veröffentlichungszeitpunkte werden festgelegt. Erst wenn die notwendigen Informationen vollständig sind, wird der CVE-Datensatz veröffentlicht. Ein veröffentlichter CVE liegt immer als JSON-Objekt nach dem offiziellen Schema vor. Er enthält Metadaten, eine Beschreibung der Schwachstelle sowie Angaben zu betroffener Software und Versionen. Sobald der Datensatz vollständig ist, wird er öffentlich zugänglich gemacht. Die Veröffentlichung erfolgt über die Website des CVE-Programms, das Git-Repository mit allen JSON-Dateien und häufig auch über die API der National Vulnerability Database. Damit steht die Information weltweit standardisiert zur Verfügung.
Hinter diesem Prozess steht eine klar strukturierte Organisation. An der Spitze befindet sich das CVE Board. Es legt die strategische Ausrichtung des Programms fest. Für die operative Unterstützung ist das sogenannte Secretariat verantwortlich. Diese Rolle übernimmt derzeit die MITRE Corporation. Es stellt Infrastruktur, Werkzeuge und administrative Abläufe bereit. Darunter befinden sich die Top-Level Roots, aktuell CISA und MITRE. Sie verwalten jeweils eigene organisatorische Hierarchien. Zu diesen Hierarchien gehören sogenannte Roots. Diese Roots betreuen wiederum mehrere CVE Numbering Authorities. Die CNAs sind die Stellen, die tatsächlich CVE-IDs vergeben und Einträge veröffentlichen. Diese Struktur verteilt Verantwortung und Aufgaben auf viele Organisationen weltweit. Sie stellt sicher, dass CVEs konsistent und zuverlässig verarbeitet werden.
Hinter einer einfachen Kennzeichnung wie „CVE-2025-1337“ steckt ein durchdachter und mehrstufiger Prozess. Er beginnt mit einer Entdeckung und führt über zahlreiche Organisationen und Abstimmungen. Am Ende entsteht ein standardisierter und öffentlich zugänglicher Datensatz. Dieser Prozess ist ein zentraler Baustein moderner IT-Sicherheit.
Mann, D.E. and Christey, S.M. (1999) “Towards a Common Enumeration of Vulnerabilities.”
CVE: Common Vulnerabilities and Exposures (no date). Available at: https://www.cve.org/ (Accessed: November 11, 2025).
Möchtest du mehr über diese Inhalte Erfahren? Dann melde dich gerne bei mir!