Glossary term
CVE
Also: Common Vulnerabilities and Exposures
Globaler Identifier für öffentlich bekannte Sicherheits-Schwachstellen in Software und Hardware. Format CVE-JJJJ-NNNN, betrieben vom MITRE-Corp im Auftrag der CISA. Mehr als 200.000 CVEs Stand 2025.
Jeder CVE-Eintrag enthält eine kurze Beschreibung, betroffene Produkte und Versionen, Referenzen zu Patches und PoCs. CVEs werden von CVE Numbering Authorities (CNA) vergeben, darunter Microsoft, Cisco, Red Hat, GitHub.
Verbunden: CVSS (Common Vulnerability Scoring System) gibt einen Schweregrad 0-10. CWE (Common Weakness Enumeration) klassifiziert die Schwachstellen-Klasse. KEV (Known Exploited Vulnerabilities) der CISA listet aktiv ausgenutzte CVEs als Pflichtpatches.
Praxis: ein modernes Schwachstellen-Management priorisiert nach KEV-Listung, EPSS-Score (Exploit Prediction Scoring System) und Asset-Kritikalität, nicht stupide nach CVSS.
Related terms
CVSS
Standardisiertes Bewertungssystem für Schwachstellen mit Score 0-10. Aktuelle Version CVSS v4.0 (202…
SBOM
Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigke…
Supply Chain Risk
Risiken aus der Software- und Hardware-Lieferkette: kompromittierte Open-Source-Pakete, Build-Pipeli…
CASB
Sicherheits-Layer zwischen Nutzern und SaaS, der Sichtbarkeit (Shadow-IT-Discovery), Datenschutz (DL…
CNAPP
Plattform-Kategorie nach Gartner, die CSPM, CWPP, CIEM, KSPM, DSPM und IaC-Scanning in einem Tool zu…
Confidence Score
Eine quantifizierte Einschätzung, wie belastbar die Aussage eines Entscheidungs-Memos ist, getrennt …
Confidential Computing
Hardware-basierte Isolation, die Daten während der Verarbeitung verschlüsselt hält (data-in-use). Er…
Critical ICT Third-Party Provider (CTPP)
ICT-Drittanbieter, der von der EU-Kommission nach DORA Art. 31 als kritisch eingestuft wird und unte…