CVE

Wenn ein Sicherheitsforscher eine Schwachstelle in einer Software findet (wie einen Fehler in Windows oder eine Sicherheitslücke in einer Banking-App), meldet er diese an eine CVE-Nummerierungsstelle (CNA). Nach der Überprüfung wird eine eindeutige ID in folgendem Format zugewiesen:

CVE-YYYY-NNNNN (Beispiel: CVE-2021-44228, die bekannte „Log4shell“-Schwachstelle)

Ohne das CVE-System wäre die Verwaltung der digitalen Sicherheit chaotisch. Darum sind sie unerlässlich:

• Standardisierte Sprache: Dadurch wird sichergestellt, dass im Falle der Veröffentlichung eines „kritischen Updates“ sowohl ein Unternehmen in Tokio als auch ein Unternehmen in New York genau wissen, welche Sicherheitslücke behoben wird.
• Priorisierung: CVEs werden häufig mit einem CVSS-Score (Common Vulnerability Scoring System) verknüpft. Dies ordnet die Gefahr auf einer Skala von 0 bis 10, um IT-Teams dabei zu helfen, zu entscheiden, welche Probleme zuerst behoben werden müssen.
• Tracking und Automatisierung: Sicherheitsscanner verwenden CVE-IDs, um Ihren Computer auf bekannte Sicherheitslücken zu überprüfen. Wenn Ihre Softwareversion mit einer bekannten CVE übereinstimmt, fordert Sie der Scanner auf, sofort zu aktualisieren.
• Transparenz: Es hält Softwareunternehmen zur Rechenschaft. Durch die Veröffentlichung von Schwachstellen (in der Regel nachdem ein Fix verfügbar ist) werden bessere Programmierpraktiken gefördert.

1. Entdeckung: Jemand hat einen Fehler entdeckt.
2. Berichterstattung: Der Fehler wird vertraulich an den Hersteller oder einen CNA gemeldet.
3. Abtretung: Eine CVE-ID ist reserviert.
4. Offenlegung: Sobald ein Patch verfügbar ist (oder nach einem bestimmten Zeitraum), wird die Schwachstelle der öffentlichen CVE-Liste hinzugefügt.

Ja, WatchGuard verfügt über ein sehr robustes CVE-System. WatchGuard ist seit März 2023 offiziell als CVE Numbering Authority (CNA) anerkannt.

Das bedeutet, dass WatchGuard CVEs nicht nur verwendet, sondern auch offiziell die Befugnis hat, sie vergeben. Anstatt darauf zu warten, dass ein Dritter einen Fehler in seiner Software kennzeichnet, kann das Sicherheitsteam von WatchGuard (PSIRT) selbst eine Schwachstelle identifizieren und eine eindeutige CVE-ID vergeben.

WatchGuard integriert CVEs in mehrere Ebenen seiner Geschäftsprozesse, um die Sicherheit der Benutzer zu gewährleisten:

• Öffentliche Sicherheitshinweise: WatchGuard pflegt eine öffentliche Produktsicherheits-Incident-Response-Team (PSIRT) Seite. Jede von ihnen herausgegebene Sicherheitswarnung (WGSA – WatchGuard Security Advisory) ist mit einer standardisierten CVE-ID verknüpft, damit IT-Experten sie weltweit verfolgen können.
• Dashboard zur Schwachstellenbewertung: Wenn Sie WatchGuard Cloud oder deren Endpoint Security-Produkte verwenden, steht Ihnen ein integriertes Dashboard zur Verfügung, das Ihr Netzwerk scannt und die "Verfügbaren Patches" anhand ihrer CVE-ID auflistet.
• Aktive Bedrohungsverfolgung: Sie verwenden CVEs, um Benutzer vor aktiven Angriffen in freier Wildbahn zu warnen. So verfolgte WatchGuard kürzlich CVE-2025-9242 , eine kritische Sicherheitslücke in ihren Firebox-Systemen, wobei das CVE-System genutzt wird, um dringende Patches für Tausende von Geräten weltweit zu koordinieren.

Da WatchGuard ein CNA ist, ist der Zeitraum zwischen dem „Finden eines Fehlers“ und der „Benachrichtigung der Öffentlichkeit“ viel kürzer. Dies ermöglicht einen standardisierten und transparenten Umgang mit „Responsible Disclosure" – Forscher entdecken Schwachstellen, melden sie an WatchGuard, und WatchGuard behebt die Sicherheitslücken, bevor Hacker sie ausnutzen können.