Das Computer Emergency Response Team des Verbands der Elektrotechnik Elektronik Informationstechnik (CERT@VDE) ist seit Mitte Juli 2025 als erste deutsche Organisation zur Root-CNA (Root-CVE Numbering Authority) im globalen System zur Erfassung von Sicherheitslücken ernannt worden. Dies ermöglicht dem CERT@VDE, die Vergabe von eindeutigen Kennungen für Schwachstellen in Industriesystemen zu koordinieren und zu überwachen.
Seit 1999 werden Sicherheitslücken in IT-Systemen weltweit im CVE-System (Common Vulnerabilities and Exposures, CVE) erfasst und mit eindeutigen Kennungen versehen. Diese standardisierte Erfassung hilft Unternehmen und Experten, Schwachstellen schnell zu identifizieren und zu beheben. Das CERT@VDE war bereits seit 2020 als CNA für seine Kooperationspartner tätig.
Neue Aufgaben in der globalen Hierarchie
Als Root-CNA übernimmt das CERT@VDE nun zusätzliche Verantwortung im internationalen System. „Wir werden bei Unklarheiten oder Streitigkeiten zwischen CNAs vermittelnd eingreifen und Qualität sowie Vollständigkeit der CVE-Einträge unserer Partner kontrollieren“, erklärt Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE.
Zu den Aufgaben gehören die Identifizierung, Auswahl und Betreuung untergeordneter CNAs aus dem Kreis der CERT@VDE-Partner sowie deren Schulung und Onboarding. Außerdem überwacht die Organisation die Einhaltung der CVE-Richtlinien und entwickelt Standards für die Vergabe und Verwaltung der CVE-IDs weiter.
Bedeutung für die Industriesicherheit
Sicherheitslücken in Industrieprodukten betreffen kritische Bereiche wie die Strom- und Wasserversorgung, Krankenhäuser oder Fertigungsstätten. Das National Institute of Standards and Technology (NIST) in den USA hatte dem CERT@VDE in mehreren Audits den höchsten Qualitätsstandard für die eigenen CVEs in der National Vulnerability Database (NVD) bescheinigt.
„Als erste Root-CNA in Deutschland sind wir nicht nur die direkte Kontaktstelle für unsere Kooperationspartner in derselben Zeitzone – wir sind auch selbst Teil des internationalen, föderalen CVE-Systems und veröffentlichen Schwachstellen nach einem koordinierten Veröffentlichungsprozess“, erläutert Andreas Harner, Abteilungsleiter CERT@VDE.
Internationale Einordnung
Im weltweiten System der Root-CNAs reiht sich das CERT@VDE nun neben etablierte Organisationen wie MITRE, die Cybersecurity and Infrastructure Security Agency (CISA), Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie den Thales-Konzern aus Frankreich ein.
Die Ernennung zur Root-CNA erfolgte nach monatelanger Vorbereitung und mehreren Audit-Sitzungen mit CISA und MITRE. Das CERT@VDE fungiert damit als Knotenpunkt im weltweiten Netz der Schwachstellenkoordination für kleine und mittlere Unternehmen sowie den industriellen Mittelstand.
Hintergrund: Das CVE-System erklärt
CVE steht für „Common Vulnerabilities and Exposures“ und bezeichnet eine Liste weltweit gemeldeter Sicherheitslücken. Autorisierte Stellen, sogenannte CNAs (CVE Numbering Authorities), vergeben CVE-Nummern für Schwachstellen in definierten Bereichen oder Produkten.
Eine Root-CNA ist eine übergeordnete Organisation, die neben der Zuweisung von CVE-IDs auch andere CNAs beaufsichtigt und schult. Sie sorgt für Struktur und Qualität im CVE-System und trägt zur einheitlichen Erfassung von Sicherheitslücken bei.
(Quelle: VDE / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)
Leave a Reply