software-wartung24.de
· 6 Min. Lesezeit· Sandor Farkas

CVE-Monitoring: Wie Sie Sicherheitslücken in alter Software früh erkennen

SicherheitCVELegacy SoftwareSchwachstellen
CVE-Monitoring: Wie Sie Sicherheitslücken in alter Software früh erkennen

Jeden Tag werden neue Sicherheitslücken veröffentlicht. Manche betreffen aktuelle Software. Viele betreffen alte. Wenn Ihre Anwendung seit Jahren läuft und niemand systematisch hinschaut, haben sich mit hoher Wahrscheinlichkeit ungepatchte Lücken angesammelt.

CVE-Monitoring ist der erste Schritt, um das zu ändern. Dieser Artikel erklärt, was es bedeutet, wie es funktioniert und wie Sie es auch ohne eigenes Sicherheitsteam umsetzen können.

Was ist ein CVE?

CVE steht für "Common Vulnerabilities and Exposures". Das ist eine öffentliche Datenbank für bekannte Sicherheitslücken in Software. Jede Lücke bekommt eine eindeutige Nummer, zum Beispiel CVE-2024-12345. Dazu gibt es eine Beschreibung, einen Schweregrad und oft Informationen darüber, wie die Lücke ausgenutzt werden kann.

Diese Datenbank ist für jeden zugänglich. Sicherheitsforscher nutzen sie. Unternehmen nutzen sie. Leider auch Angreifer.

Warum ist CVE-Monitoring für alte Software besonders wichtig?

Alte Software hat ein strukturelles Problem. Sie wird oft nicht aktiv gewartet. Sicherheitsupdates bleiben aus. Und trotzdem läuft sie weiter im Produktivbetrieb.

Das bedeutet: Wenn eine Sicherheitslücke für eine veraltete PHP-Version, ein altes CMS oder eine bekannte Bibliothek veröffentlicht wird, betrifft sie Ihr System. Und niemand bemerkt es.

Neue Software profitiert meist von automatischen Updates. Aktive Entwicklungsteams reagieren auf neue CVEs. Bei Legacy Software ist das selten der Fall.

Wer kein CVE-Monitoring betreibt, erfährt von kritischen Lücken oft erst dann, wenn etwas passiert ist. Das ist zu spät.

Die Gefahr ungepatchter Schwachstellen

Angreifer scannen das Internet systematisch nach bekannten Schwachstellen. Sie suchen nicht gezielt Ihr Unternehmen. Sie suchen Systeme, die anfällig für bekannte CVEs sind.

Wenn Ihre Website auf PHP 7.4 läuft und eine kritische Lücke für diese Version veröffentlicht wird, erscheint Ihre Seite in diesen automatisierten Scans. Das Risiko ist real, auch wenn Sie kein prominentes Angriffsziel sind.

Lesen Sie dazu: Alte Software als Sicherheitsrisiko

Was CVE-Monitoring konkret bedeutet

CVE-Monitoring heißt, dass Sie systematisch verfolgen, ob für die Software-Komponenten Ihres Systems neue Sicherheitslücken bekannt werden.

Das umfasst typischerweise diese Bereiche:

  • Die PHP-Version oder andere Laufzeitumgebung Ihrer Anwendung
  • Das eingesetzte CMS oder Framework (Typo3, Symfony, Joomla, WordPress)
  • Bibliotheken und Abhängigkeiten (Composer-Pakete, jQuery und ähnliche)
  • Das Server-Betriebssystem
  • Die Datenbanksoftware (MySQL, MariaDB, PostgreSQL)

Wenn für eine dieser Komponenten ein neuer CVE veröffentlicht wird, sollten Sie es wissen. Und dann entscheiden, ob Handlungsbedarf besteht.

Wie CVE-Monitoring in der Praxis funktioniert

Schritt 1: Inventar anlegen

Bevor Sie CVEs überwachen können, müssen Sie wissen, was in Ihrem System steckt. Welche PHP-Version läuft? Welche Plugin-Versionen sind installiert? Welche externen Bibliotheken sind eingebunden?

Das klingt aufwändig. Es ist aber einmalige Arbeit mit dauerhaftem Nutzen. Ein einfaches Dokument oder eine Tabelle reicht als Ausgangspunkt.

Schritt 2: Monitoring einrichten

Es gibt verschiedene Werkzeuge für das Schwachstellen-Monitoring. Einige sind kostenlos, andere kostenpflichtig.

Kostenlose Einstiegsmöglichkeiten:

Die National Vulnerability Database (NVD) der amerikanischen NIST-Behörde bietet einen RSS-Feed und eine Suchfunktion für CVEs. Sie können gezielt nach PHP, WordPress oder anderen Komponenten suchen und sich über neue Meldungen informieren lassen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht regelmäßig Warnmeldungen für kritische Schwachstellen auf Deutsch. Diese sind für den deutschsprachigen Raum aufbereitet und verständlich formuliert.

Werkzeuge für systematischeres Monitoring:

Dependabot von GitHub überwacht automatisch Abhängigkeiten in Projekten mit Composer oder npm. Es meldet bekannte Lücken direkt im Repository.

OWASP Dependency-Check ist ein Open-Source-Werkzeug. Es prüft Ihre Bibliotheken gegen bekannte CVEs und erstellt einen Bericht.

Snyk ist ein kommerzieller Dienst. Er überwacht Schwachstellen in Abhängigkeiten und bewertet deren Schwere.

Für einfache Systeme ohne aktive Entwicklungsumgebung reicht oft eine manuelle Prüfung alle zwei Wochen. Für kritische Systeme ist automatisches Monitoring besser.

Schritt 3: Schweregrad bewerten

Nicht jeder CVE ist gleich kritisch. Das CVSS-System (Common Vulnerability Scoring System) bewertet Schwachstellen auf einer Skala von 0 bis 10.

Werte von 7,0 bis 10,0 gelten als kritisch. Werte von 4,0 bis 6,9 als mittel. Alles darunter als niedrig.

Ein CVE mit Score 9,8 für eine Komponente, die Ihre Anwendung aktiv nutzt, verlangt sofortiges Handeln. Ein Score von 3,2 für eine Bibliothek ohne Netzwerkkontakt kann warten.

Diese Einschätzung braucht etwas technisches Verständnis. Falls das intern nicht vorhanden ist, hilft ein externer Dienstleister.

Was tun wenn ein kritischer CVE auftaucht?

Zunächst prüfen Sie, ob Ihre Anwendung tatsächlich betroffen ist. Nicht jede Schwachstelle betrifft jede Konfiguration.

Wenn die Betroffenheit bestätigt ist, gibt es drei typische Reaktionen.

Update einspielen: Wenn ein Patch verfügbar ist, ist das die beste Lösung. Bei aktiv gewarteter Software geht das oft schnell.

Workaround einrichten: Falls kein Patch verfügbar ist, können technische Gegenmaßnahmen das Risiko reduzieren. Das erfordert Fachwissen.

Risiko dokumentieren und beobachten: Bei sehr alten Systemen, die nicht einfach gepatcht werden können, muss die Entscheidung schriftlich festgehalten werden. Das schützt im Fall einer DSGVO-Prüfung.

Wer technische Schulden über Jahre angesammelt hat, stellt beim ersten systematischen CVE-Check manchmal fest, dass viele Komponenten betroffen sind. Das ist unangenehm, aber besser als die Alternative: nichts zu wissen und trotzdem betroffen zu sein.

CVE-Monitoring ohne eigenes Sicherheitsteam

Viele mittelständische Unternehmen haben keine eigene IT-Sicherheitsabteilung. Das ist kein Grund, auf CVE-Monitoring zu verzichten.

Es gibt einfache Einstiegsmöglichkeiten.

BSI-Newsletter abonnieren: Das BSI verschickt regelmäßig Warnmeldungen per E-Mail. Das kostet nichts und liefert die wichtigsten Hinweise auf Deutsch.

Wartungsdienstleister beauftragen: Wer seine Software-Wartung an einen spezialisierten Dienstleister abgibt, sollte CVE-Monitoring als Teil des Vertrags vereinbaren. So werden kritische Lücken proaktiv gemeldet, ohne dass Sie selbst die Datenbanken durchsuchen müssen.

Automatisierte Tools nutzen: Selbst ohne Entwicklerteam lassen sich einfache Monitoring-Werkzeuge einrichten. Sie informieren per E-Mail, wenn eine neue Lücke für Ihre Komponenten bekannt wird.

Das Ziel ist nicht Perfektion. Das Ziel ist, nicht von einer bekannten Lücke überrascht zu werden.

Was CVE-Monitoring nicht leistet

Ein häufiges Missverständnis: CVE-Monitoring schützt nicht vor unbekannten Lücken. Es informiert nur über bekannte.

Sogenannte Zero-Day-Lücken sind Schwachstellen, die noch nicht öffentlich bekannt sind. Sie werden erst nach ihrer Entdeckung in CVE-Datenbanken erfasst. Bis dahin gibt es keinen öffentlichen Hinweis.

Das bedeutet: CVE-Monitoring ist ein wichtiger Baustein. Aber kein vollständiges Sicherheitskonzept. Es ersetzt keine regelmäßige Sicherheitsprüfung und keine Wartung durch erfahrene Entwickler.

Fazit: Wer nicht hinschaut, erfährt es zu spät

CVE-Monitoring ist kein Luxus für große Unternehmen. Es ist eine Grundvoraussetzung für jeden, der Software im Produktivbetrieb hat. Besonders wenn diese Software älter ist.

Die Einrichtung kostet einmalig etwas Zeit. Danach schützt es Sie kontinuierlich vor bösen Überraschungen.

Wenn Sie nicht sicher sind, ob Ihre Software aktuell bekannte Sicherheitslücken hat, sprechen Sie uns an. Wir prüfen Ihr System und zeigen Ihnen, wo Handlungsbedarf besteht. Das Erstgespräch ist kostenlos.

Weitere Artikel

Alte Symfony-Version updaten: Von Symfony 2/3 auf die aktuelle LTS
· 6 Min. Lesezeit

Alte Symfony-Version updaten: Von Symfony 2/3 auf die aktuelle LTS

Symfony 2 und 3 erhalten keine Sicherheits-Updates mehr. Ein symfony update alte version ist überfällig. Dieser Artikel erklärt die typischen Stolpersteine, den realistischen Weg zur aktuellen LTS und warum jeder weitere Monat das Risiko erhöht.

CMS & FrameworksSymfonyEnd of Life
Symfony für Legacy-Projekte: Wann sich der Umstieg wirklich lohnt
· 7 Min. Lesezeit

Symfony für Legacy-Projekte: Wann sich der Umstieg wirklich lohnt

Symfony ist ein robustes PHP-Framework. Aber lohnt sich der Umstieg von einer selbstgebauten Altanwendung? Dieser Artikel erklärt, wann Symfony die richtige Wahl ist und wann Sie besser bleiben wo Sie sind.

CMS & FrameworksPHPModernisierung

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen