Seit mittlerweile 8 Jahren bin ich als Legal Advisor im #CERT@#VDE tätig – und freue mich deshalb umso mehr darüber, dass das CERT@VDE jetzt im Juli Deutschlands erste Root-#CNA geworden ist – herzliche Glückwünsche zu diesem verdienten Erfolg!
Sicherheitslücken in Industrieprodukten finden sich in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten. Wenn Angreifer diese Lücken ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um dies effektiv zu verhindern, müssen die Schwachstellen weltweit systematisch erfasst und benannt werden. Hierzu wurde vor mehr als 25 Jahren in den USA das sogenannte #CVE-System etabliert – CVE steht für „Common Vulnerabilities and Exposures“. Dort ist jede bekannte Schwachstelle mit einer eindeutigen Kennung im Herzstück des Systems, der CVE-Datenbank, hinterlegt.
Eine einheitliche Syntax allein reicht allerdings nicht aus, um Ordnung und Effizienz bei der Vergabe von CVE-IDs zu gewährleisten. Damit diese nicht unkontrolliert verteilt werden, sind nur bestimmte Organisationen und Unternehmen – sogenannte „CVE Numbering Authorities (CNAs)“ – dazu berechtigt, CVE-IDs zu vergeben. Diese CNAs teilen die Zuständigkeiten für verschiedene Produkte und Anwendungsbereiche untereinander klar auf.
Hierarchisch über den CNAs angeordnet sind sogenannte Root-CNAs. Dazu gehören #MITRE, CISA, Google, Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der Thales Konzern aus Frankreich – und seit Mitte Juli 2025 nun auch das CERT@VDE als erste Root-CNA in Deutschland. In dieser neuen Rolle wird das CERT@VDE im Wesentlichen das CVE-Vergabesystem für seine Partner strukturieren, beaufsichtigen und koordinieren. Zudem wird sichergestellt, dass die CVE-Richtlinien und Prozesse eingehalten und Abläufe, Richtlinien und Standards für die Vergabe und Verwaltung der CVE-IDs weiterentwickelt werden.
Durch seine neue Rolle ist CERT@VDE nun ein Knotenpunkt im weltweiten Netz der Schwachstellenkoordination – sowohl für KMU als auch für den industriellen Mittelstand und setzt damit ein deutliches Signal für die internationale Sichtbarkeit der deutschen Industrie in der #Cybersicherheit.
#denniskenjikipker #cybersecurity #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen