In der heutigen digitalen Welt sind Schwachstellen in Software und Hardware allgegenwärtig. Jährlich werden Tausende von Sicherheitslücken entdeckt und gemeldet, doch längst nicht alle werden aktiv von Angreifern ausgenutzt. Dies stellt IT-Sicherheitsverantwortliche vor die Herausforderung, Ressourcen sinnvoll zu priorisieren, um wirklich kritische Schwachstellen schnell zu beheben. Genau an dieser Stelle setzt eine neue, vielversprechende Metrik an, die unter dem Begriff „Likely Exploited Vulnerabilities“ (LEV) bekannt ist und kürzlich von führenden Experten des amerikanischen National Institute of Standards and Technology (NIST) und der Cybersecurity and Infrastructure Security Agency (CISA) vorgestellt wurde. Diese Metrik soll die Wahrscheinlichkeit messen, mit der eine Schwachstelle tatsächlich ausgenutzt wird und damit Unternehmen dabei helfen, ihre Sicherheitsmaßnahmen gezielter und effizienter zu steuern.
Das Problem bei der bisherigen Schwachstellenbewertung liegt darin, dass trotz umfassender Datenbanken wie der Common Vulnerabilities and Exposures (CVE) und Listen bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities – KEV) Unsicherheiten im Umgang mit der Priorisierung bestehen. Die derzeitige Exploit Prediction Scoring System (EPSS) ist zwar ein anerkanntes Modell zur Vorhersage der Wahrscheinlichkeit einer Ausnutzung, zeigt aber bei mehreren Schwachstellen auch Ungenauigkeiten auf. Dadurch geraten Ressourcen oft in die falsche Richtung und Sicherheitslücken, die tatsächlich aktiv missbraucht werden, erhalten eventuell nicht die notwendige Aufmerksamkeit. Diese inkorrekte Einschätzung kann zu schwerwiegenden Sicherheitsvorfällen führen. Die von NIST und CISA entwickelte LEV-Metrik zielt darauf ab, diese Lücke zu schließen.
Sie bietet eine datengestützte Methodik, die anhand realer Angriffsbeobachtungen und exploit-bezogener Indikatoren eine valide Schätzung liefert, welche Schwachstellen mit hoher Wahrscheinlichkeit bereits aktiv ausgebeutet werden. Das bringt einen entscheidenden Vorteil, denn anstatt nur auf theoretische Modelle oder vergangene Bekanntmachungen zu vertrauen, können Unternehmen so fundiertere Entscheidungen treffen, welche Schwachstellen priorisiert werden sollten, um das Risiko von Angriffen zu minimieren. Ein zentrales Prinzip hinter LEV ist die Nutzung von umfassenden und aktuellen Daten, die sowohl aus öffentlichen Sicherheitsberichten als auch aus vertraulichen Quellen stammen können. Die Kooperation mit der Industrie ist für die Validierung und kontinuierliche Verbesserung der Metrik essenziell, da nur durch den Einstieg detaillierter Daten die Einschätzung ihrer Effektivität und Aussagekraft möglich wird. Eine breite Zusammenarbeit mit Softwareherstellern, Sicherheitsanbietern und bedrohungsorientierten Analysefirmen soll den Umfang und die Genauigkeit der LEV-Metrik stärken.
Die praktische Anwendung des LEV-Modells zeigt sich vor allem bei der Erstellung und Pflege von Patch-Management-Programmen in Unternehmen. Durch die Klassifizierung von Schwachstellen nach ihrer Ausnutzungswahrscheinlichkeit können Administratoren große Mengen an Sicherheitslücken effektiver filtern und gezielt jene Schwachstellen priorisieren, die als „wahrscheinlich ausgenutzt“ eingestuft werden. Diese Vorgehensweise spart Zeit und Ressourcen, die zumeist begrenzt sind, und erhöht gleichzeitig die Sicherheit der Unternehmensinfrastruktur. Neben der direkten Priorisierung bietet die LEV-Metrik auch Vorteile für die Verbesserung bestehender Sicherheitstools und Frameworks. Beispielsweise kann sie in Verbindung mit dem EPSS-System als Ergänzung und Korrektiv dienen.
Während EPSS weiterhin den breiteren Kontext bietet, können durch LEV Ungenauigkeiten reduziert und die Vorhersagegenauigkeit gesteigert werden. Dadurch entsteht ein holistischeres Bild der Bedrohungslandschaft, das nicht nur theoretische Exploit-Wahrscheinlichkeiten berücksichtigt, sondern auch konkrete Beweise für missbrauchte Schwachstellen einfängt. Überdies kann LEV bei der Zusammenstellung von KEV-Listen unterstützen. Diese Listen sind bisher oft unvollständig oder basieren auf verzögerten Informationen, was die Reaktionszeiten von Organisationen verlängert. Mithilfe von LEV lässt sich feststellen, welche Schwachstellen noch nicht in KEV-Listen enthalten sind, aber vermutlich bereits aktiv ausgenutzt werden.
Dies sorgt für eine umfassendere und aktuellere Erfassung von Bedrohungen und erleichtert die Kommunikation zwischen Behörden, Sicherheitsdienstleistern und Unternehmen. Die Entwicklung einer zuverlässigen Metrik für die Ausnutzungswahrscheinlichkeit von Schwachstellen berücksichtigt dabei nicht nur technische Merkmale, sondern auch kontextuelle Faktoren. Dazu zählen etwa die Verfügbarkeit von Exploit-Tools, die Komplexität eines Angriffs, die Verbreitung betroffener Systeme und die Motivation von Angreifern. All diese Aspekte fließen in die Modellierung ein, um eine realitätsnahe Bewertung der Gefährdungslage zu ermöglichen. Da die Bedrohungslandschaft dynamisch ist und Angreifer ihr Vorgehen ständig anpassen, stellt die kontinuierliche Aktualisierung und Überprüfung der LEV-Metrik eine unerlässliche Aufgabe dar.
Das Modell muss flexibel genug sein, um neue Angriffsmuster zu integrieren und auf Veränderungen im Täterverhalten reagieren zu können. Insbesondere die Zusammenarbeit mit nationalen und internationalen Sicherheitsbehörden schafft hier einen wertvollen Informationsaustausch, der den Schutz vor Cyberangriffen verbessert. Für Unternehmen bedeutet die Einführung einer solchen Metrik nicht nur eine bessere Steuerung der Sicherheitstätigkeiten, sondern auch eine Optimierung des Budgets und eine Reduktion der operativen Risiken. Durch das gezielte Schließen relevanter Sicherheitslücken können finanzielle Schäden, Reputationsverluste und Compliance-Verstöße minimiert werden. Im Kontext von strenger werdenden gesetzlichen Anforderungen an IT-Sicherheit und Datenschutz gewinnt dies zunehmend an Bedeutung.
Noch ist die LEV-Metrik ein relativ neuer Ansatz und steht vor einigen Herausforderungen. Technische Komplexität, Zugang zu hochwertigen Daten und die Notwendigkeit zur Standardisierung sind nur einige Hürden, die für eine breite Akzeptanz überwunden werden müssen. Dennoch zeigen erste Studien und analytische Untersuchungen das Potenzial, Schwachstellenmanagement grundlegend zu verbessern. Zusammenfassend lässt sich festhalten, dass die Einführung der „Likely Exploited Vulnerabilities“-Metrik einen bedeutenden Schritt in Richtung einer datengetriebenen, präziseren Bewertung von Sicherheitslücken darstellt. Sie schafft eine Brücke zwischen theoretischer Risikobewertung und praktischer Bedrohungserkennung und ermöglicht eine effizientere Allokation von begrenzten Sicherheitsressourcen.
Die Weiterentwicklung dieser Methode, unterstützt durch enge Zusammenarbeit zwischen Behörden und der Industrie, wird maßgeblich dazu beitragen, die Cybersicherheit von Organisationen weltweit zu erhöhen und Angreifern künftig effektiver entgegenzutreten.
