Patch-Priorisierung: Warum CVSS allein dein SOC bremst
7 Min. Lesezeit
Ein SOC, das jede kritische CVSS-Lücke gleich behandelt, patcht die falschen zuerst. Über 40.000 neue Schwachstellen pro Jahr lassen sich nicht alle in 24 Stunden schließen, und die CVSS-Zahl allein sagt nichts darüber, welche davon ein Angreifer morgen wirklich nutzt. Wer priorisiert, braucht zwei weitere Signale neben der Schwere: die Wahrscheinlichkeit der Ausnutzung und die Frage, ob sie schon läuft.
Das Wichtigste in Kürze
- CVSS misst Schwere, nicht Dringlichkeit. Eine kritische Bewertung sagt, wie schlimm eine Ausnutzung wäre, nicht wie wahrscheinlich sie ist. Genau daran verschätzen sich überlastete Teams.
- EPSS und KEV liefern die fehlenden Signale. EPSS schätzt die Ausnutzungswahrscheinlichkeit, der KEV-Katalog der CISA zeigt, was bereits aktiv ausgenutzt wird. Erst zusammen ergeben sie eine Reihenfolge.
- Tiers schlagen Listen. Eine Tier-Logik nach Ausnutzung und Wirkung führt das SOC durch die Flut, statt es 40.000 Einträge nach CVSS abarbeiten zu lassen.
Verwandt:Statische Third-Party-Prüfung reicht nicht mehr / Der geteilte Kernel ist die Lücke
Warum die CVSS-Zahl allein in die Irre führt
Was ist EPSS? Das Exploit Prediction Scoring System gibt jeder Schwachstelle eine Wahrscheinlichkeit zwischen 0 und 1 an, dass sie innerhalb der nächsten 30 Tage ausgenutzt wird. Es beantwortet eine andere Frage als CVSS: nicht wie schwer der Schaden wäre, sondern wie wahrscheinlich er überhaupt eintritt.
Dieser Unterschied entscheidet im Alltag. CVSS bewertet die Schwere im Ernstfall, und genau deshalb stapeln sich in jedem Schwachstellen-Scan Dutzende Einträge mit der Bewertung kritisch. Ein Team, das diese Liste von oben nach unten abarbeitet, verbringt Tage mit Lücken, die nie jemand angreift, während eine mittelschwere Schwachstelle mit aktivem Exploit unten in der Liste wartet. Die Schwere bleibt relevant, taugt aber nicht als Reihenfolge.
Hier entsteht die Entlastung im Betrieb. Wer Lücken mit niedriger Ausnutzungswahrscheinlichkeit bewusst nach hinten schiebt, gewinnt Zeit für Schwachstellen mit aktivem oder wahrscheinlichem Exploit. Voraussetzung ist, dass die Priorisierung auf mehr als einer Zahl beruht.
Drei Signale setzen die Patch-Reihenfolge
CVSS, EPSS und der KEV-Katalog konkurrieren nicht, sie beantworten verschiedene Fragen. Erst im Zusammenspiel ergeben sie eine belastbare Reihenfolge.
| Signal | Beantwortet | Grenze |
|---|---|---|
| CVSS | Wie schwer wäre der Schaden? | Sagt nichts über Wahrscheinlichkeit |
| EPSS | Wie wahrscheinlich ist Ausnutzung in 30 Tagen? | Prognose, kein Beweis |
| KEV | Wird sie schon aktiv ausgenutzt? | Erfasst nur Bekanntes |
Eine Schwachstelle mit mittlerem CVSS-Wert, aber hoher EPSS-Wahrscheinlichkeit verdient oft schnelleres Handeln als eine kritisch bewertete mit geringer Ausnutzungschance. Steht sie zusätzlich im KEV-Katalog, ist die Dringlichkeit eindeutig.
Tiers ordnen, was CVSS offenlässt
Aus den drei Signalen wird eine handhabbare Reihenfolge, wenn das SOC sie in Stufen übersetzt. Die folgende Logik lässt sich an die eigene Risikobereitschaft anpassen, bleibt aber im Aufbau gleich.
Die unterste Stufe ist die wichtigste Entlastung. Wenn niedrige EPSS-Werte verlässlich in den Normalbetrieb wandern, bleiben für Tier 0 und Tier 1 Analyse- und Patch-Zeit verfügbar. Wichtig ist, dass ein erreichbares, kritisches System die Stufe anhebt: Eine aktiv ausgenutzte Lücke auf einem isolierten Testserver ist kein Tier 0.
Was die Tier-Logik trägt und was sie kippt
Die Methode steht und fällt mit ihrer Pflege. Drei Bedingungen entscheiden, ob aus dem Modell eine echte Entlastung wird.
Was trägt
- Tägliche Aktualisierung von EPSS- und KEV-Daten
- Asset-Wissen: Welches System ist erreichbar, welches kritisch
- Automatische Anreicherung statt manueller Recherche pro CVE
Was kippt
- EPSS-Werte, die monatealt im Ticket stehen
- Tiers ohne Bezug zur tatsächlichen Erreichbarkeit
- Ausnahmen, die zur Regel werden
Die rechte Spalte beschreibt den Normalfall, in dem ein gutes Modell langsam verfällt. Eine Priorisierung, die niemand pflegt, ist nach wenigen Wochen wieder eine Liste nach CVSS, nur mit mehr Zwischenschritten.
Häufige Fragen
Was ist EPSS?
Das Exploit Prediction Scoring System gibt jeder Schwachstelle eine Wahrscheinlichkeit zwischen 0 und 1 an, dass sie innerhalb von 30 Tagen ausgenutzt wird. Es ergänzt CVSS, das nur die Schwere bewertet, um die Frage nach der Wahrscheinlichkeit.
Ersetzt EPSS den CVSS-Wert?
Nein. CVSS bleibt sinnvoll, um die Schwere eines möglichen Schadens einzuschätzen. EPSS und der KEV-Katalog kommen hinzu, um Wahrscheinlichkeit und tatsächliche Ausnutzung abzubilden. Erst die Kombination ergibt eine belastbare Reihenfolge.
Was ist der KEV-Katalog?
Die Known Exploited Vulnerabilities der US-Behörde CISA listen Schwachstellen, für die eine aktive Ausnutzung belegt ist. Ein KEV-Eintrag ist das stärkste Signal: Hier ist die Frage nach der Wahrscheinlichkeit bereits beantwortet.
Wie schnell muss eine KEV-Lücke geschlossen werden?
Trifft aktive Ausnutzung auf ein erreichbares, kritisches System, gilt sie als Tier 0 und gehört innerhalb von 24 Stunden gepatcht oder zumindest mitigiert. Liegt das betroffene System isoliert, sinkt die Dringlichkeit entsprechend.
Lohnt sich die Umstellung für kleinere Teams?
Gerade dort. Kleine Teams können nicht alles patchen und profitieren am meisten davon, die rund 90 Prozent unwahrscheinlicher Lücken zurückzustellen. EPSS- und KEV-Daten sind frei verfügbar und lassen sich in bestehende Schwachstellen-Werkzeuge einbinden.
Mehr aus dem MBF Media Netzwerk
Bildquelle: Titelbild und Beitragsbilder KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt
