CERT@VDE wird Deutschlands erste Root-CNA – mehr Verantwortung im globalen System für Cybersecurity in der Industrie

(Frankfurt am Main) - Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit seit Jahren stark zu. Die Angreifer nutzen dabei Schwachstellen in Produktionssystemen, Steuerungen oder anderen vernetzten Systemen aus. Um solche Sicherheitslücken zügig zu schließen und betroffene Anwender zuverlässig über Sicherheitshinweise (Advisories) zu informieren, steht das CERT@VDE seit acht Jahren als Kompetenzplattform seinen Partnern zur Seite. Jetzt ist CERT@VDE zur zentralen Anlaufstelle im globalen CVE-Programm für seine Partner aufgestiegen: ein starkes Signal für mehr Cybersecurity in der Industrie.

Sicherheitslücken in Industrieprodukten finden sich in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten. Wenn Angreifer diese Lücken ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um dies effektiv zu verhindern, müssen die Schwachstellen weltweit systematisch erfasst und benannt werden. Hierzu wurde vor mehr als 25 Jahren in den USA das sogenannte CVE-System etabliert – CVE steht für „Common Vulnerabilities and Exposures“. Dort ist jede bekannte Schwachstelle mit einer eindeutigen Kennung im Herzstück des Systems, der CVE-Datenbank, hinterlegt. Damit lassen sich im komplexen Prozess der Schwachstellenbehandlung fatale Missverständnisse vermeiden.

Das CVE-System als weltweit führender Industriestandard ermöglicht Experten und Unternehmen seit 1999 auf Basis einer einheitlichen Syntax gezielt und schnell zu reagieren, Probleme unverzüglich zu erkennen und herstellerübergreifend zu beheben.

Stabilität im System

Eine einheitliche Syntax allein reicht allerdings nicht aus, um Ordnung und Effizienz bei der Vergabe von CVE-IDs zu gewährleisten. Damit diese nicht unkontrolliert verteilt werden, sind nur bestimmte Organisationen und Unternehmen – sogenannte „CVE Numbering Authorities (CNAs)“ – dazu berechtigt, CVE-IDs zu vergeben. Diese CNAs teilen die Zuständigkeiten für verschiedene Produkte und Anwendungsbereiche untereinander klar auf. CERT@VDE agiert bereits seit 2020 als CNA für seine Kooperationspartner und erarbeitete sich in zahlreichen Audits der NIST (National Institute of Standards and Technology, USA) den höchsten Qualitätsstandard für die eigenen CVEs in der NVD (National Vulnerability Database). NVD ist eine staatliche US-Datenbank, die vom NIST betrieben wird. Sie ergänzt das CVE-System um technische Details und Bewertungen.

Hierarchisch über den CNAs angeordnet sind sogenannte Root-CNAs. Dazu gehören MITRE, CISA, Google, Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der Thales Konzern aus Frankreich – und seit Mitte Juli 2025 nun auch das CERT@VDE als erste Root-CNA in Deutschland. In dieser neuen Rolle wird das CERT@VDE im Wesentlichen das CVE-Vergabesystem für seine Partner strukturieren, beaufsichtigen und koordinieren. Im Einzelnen gehören dazu die Identifizierung, Auswahl, Ernennung und Betreuung untergeordneter CNAs aus dem Kreis der CERT@VDE Partner, aber auch die Schulung und das Onboarding dieser neuen CNAs. Zudem wird sichergestellt, dass die CVE-Richtlinien und Prozesse eingehalten und Abläufe, Richtlinien und Standards für die Vergabe und Verwaltung der CVE-IDs weiterentwickelt werden.

Neue Rolle, neue Verantwortung

Eine weitere wichtige Funktion der Root-CNA ist die Konfliktlösung: „Wir werden bei Unklarheiten oder Streitigkeiten zwischen CNAs (z. B. bei Zuständigkeiten für bestimmte Produkte) vermittelnd eingreifen und Qualität sowie Vollständigkeit der CVE-Einträge unserer Partner kontrollieren“, erklärt Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE.

„Als erste Root-CNA in Deutschland sind wir nicht nur die direkte Kontaktstelle für unsere Kooperationspartner in derselben Zeitzone – wir sind auch selbst Teil des internationalen, föderalen CVE-Systems und veröffentlichen Schwachstellen nach einem koordinierten Veröffentlichungsprozess“, ergänzt Andreas Harner, Abteilungsleiter CERT@VDE. „Die Vorteile für unsere Kooperationspartner sind offensichtlich: Sie zeigen durch ein ausgereiftes Schwachstellenmanagement gegenüber bestehenden und potenziellen Kunden einen erhöhten Reifegrad im Cybersecurity-Bereich. Zudem behalten sie die Kontrolle über den Veröffentlichungsprozess von CVEs für Schwachstellen in ihren Produkten.“

Durch seine neue Rolle ist CERT@VDE nun ein Knotenpunkt im weltweiten Netz der Schwachstellenkoordination – sowohl für KMU als auch für den industriellen Mittelstand. Die Plattform bringt das nötige Fachwissen und das Vertrauen aus der Industrie mit. „Allerdings war der Weg zur Root-CNA kein Selbstläufer, sondern das Ergebnis einer monatelangen Vorbereitung inklusive mehrerer Audit-Sitzungen mit CISA und MITRE“, betont Jochen Becker. Andreas Harner fasst zusammen: „Dadurch, dass wir als erste Root-CNA in Deutschland anerkannt wurden, setzen wir ein deutliches Signal für die internationale Sichtbarkeit der deutschen Industrie im Bereich Cybersecurity.“

Was bedeuten CVE, CNA und Root-CNA?

CVE steht für „Common Vulnerabilities and Exposures“. Dahinter steckt eine Liste weltweit gemeldeter Sicherheitslücken, die von dafür autorisierten Stellen mit einem offiziellen Eintrag versehen werden. Diese Stellen heißen CNAs (CVE Numbering Authorities), sie vergeben CVE-Nummern (CVE-IDs) für Schwachstellen in einem definierten Bereich, also für bestimmte Produkte oder Hersteller. Eine Root-CNA ist eine übergeordnete Organisation, die dabei unterstützt, bekannte Sicherheitslücken in Computerprogrammen oder Geräten zu erfassen und zu benennen. Sie weist ebenfalls CVE-IDs zu, beaufsichtigt und schult aber zusätzlich andere CNAs. Root-CNAs sorgen für Struktur und Qualität im CVE-System.

Quelle und Kontaktadresse:
VDE - Verband der Elektrotechnik Elektronik Informationstechnik e.V., Jennifer Bounoua, Pressesprecher(in), Merianstr. 28, 63069 Offenbach am Main, Telefon: 069 63080