PenetrationstestJan Kahmen9 min Lesezeit

Was ist CWE (Common Weakness Enumeration)?

Die Common Weakness Enumeration bietet Ihnen eine Auflistung typischer Schwachstellen in der Hard- und Software. Diese Liste ist frei zugänglich und kategorisiert sämtliche Sicherheitslücken.

Inhaltsverzeichnis

Die Common Weakness Enumeration bietet Ihnen eine Auflistung typischer Schwachstellen in der Hard- und Software. Diese Liste ist frei zugänglich und kategorisiert sämtliche Sicherheitslücken. Damit ist sie die ideale Basis, um sicherheitsrelevante Schwächen zu identifizieren und aufzulösen.

Das bedeutet CWE

Die Abkürzung CWE steht für Common Weakness Enumeration und bezieht sich auf eine Auflistung unterschiedlicher Arten an Schwachstellen. Diese betreffen sowohl die Hard- als auch die Software und werden regelmäßig von der Community gepflegt. Hier finden Sie die einzelnen Sicherheitslücken kategorisiert und mit eindeutiger ID für die spätere Identifikation.
Das wichtigste Ziel dieser Liste ist es, Ihnen die Grundlage für die Vorbeugung und die Beseitigung typischer Sicherheitslücken bereitzustellen. Sie bietet also den notwendigen Informationsgehalt für Ihr Security Operations Center und unterstützt Sie bei den erforderlichen Maßnahmen. Aus diesem Grund veröffentlicht die MITRE Corporation seit 2006 regelmäßig diese frei zugängliche Auflistung. Die hierin enthaltenen Punkte sind aber nicht nur im Rahmen Ihrer CWE Security von Bedeutung: Sie hilft Softwareentwicklern und Sicherheitsbeauftragten dabei, Risiken in der Hard- und Software vorzubeugen.

CWE - was gilt als Schwachstelle?

Der CWE Security Aspekt richtet sich an sämtliche Fehler in Software- und Hardwaresystemen. Diese können wiederum zu Sicherheitsproblemen führen, die Sie beheben müssen. Andernfalls können die Sicherheitslücken Cyberkriminellen als Einfallstor in Ihr Unternehmen dienen.
Mehr als 600 Schwachstellen kategorisiert die Datenbank und gibt Ihrem Security Operations Center damit einen wichtigen Leitfaden an die Hand. Da es nicht immer einfach ist, bei einer solchen Anzahl den Überblick zu behalten, gibt es zudem die CWE Top 25. Dabei handelt es sich um die gefährlichsten Sicherheitslücken, die eine hohe Auswirkung auf Ihr Unternehmen haben können. Während hartcodierte Passwörter eher auf den unteren Plätzen rangieren, finden sich unter den schwerwiegendsten Typen SQL-injections und Cross-side-scripting Problematiken.

Was sind die Ziele der CWE?

Im Zuge der Cloud Transformation steigen die Anforderungen an die IT-Sicherheit in Ihrem Unternehmen. Deshalb gilt es, kritische Sicherheitslücken mit Pentests und der Open Source Intelligence möglichst auszuräumen. Die Common Weakness Enumeration hilft Ihnen dabei, Ihren Fokus auf die aktuell wichtigsten
Probleme zu richten. Deshalb verfolgt sie folgende Ziele:

  • Die CWE soll die typischen Fehler und Schwächen in Hard- und Softwarelösungen aufzeigen. Dadurch soll es möglich sein, die Probleme zu beheben, bevor Sie die Systeme in Ihrem Unternehmen einsetzen.
  • Die Auflistung soll Entwickler, Programmierer und Sicherheitsanalysten bei ihrer täglichen Arbeit unterstützen.
  • Die Liste soll ermöglichen, dass die Community in einer allgemeingültigen Sprache über Schwachstellen diskutieren oder diese beschreiben kann.
  • Neben einer Übersicht typischer Schwächen soll sie konzeptionelle Ansätze oder Beispiellösungen bieten, an denen Sie sich orientieren können.

Was unterscheidet CWE von OWASP und Co?
Sichere Programmierpraktiken sind schon immer wichtig. Trotzdem sind sie seit der Digitalen und der Cloud Transformation noch unabdingbarer. Deshalb gibt es mittlerweile eine Vielzahl an Richtlinien, die Programmierer und Sicherheitsforscher unterstützen sollen. Zu den Wichtigsten gehören CWE, OWASP und CVE.

  • CVE: Hierbei handelt es sich um eine Liste potenzieller Anfälligkeiten von Unternehmensressourcen sowie Cybersicherheitsschwachstellen.
  • CWE: Der Fokus liegt auf einer vollständigen Schwachstellen-Datenbank. Sie hilft Ihnen dabei, Schwachstellen zu identifizieren und Sicherheitslücken zu beheben. Dabei stützt sich diese Sammlung auf Daten aus dem OWASP und dem CVE-Bestand.
  • OWASP: Diese Gemeinschaftsinitiative listet regelmäßig die Top-10-Schwachstellen auf. Diese gehören zu den gefährlichsten Sicherheitslücken, die in Webanwendungen vorliegen.

Wie funktioniert CWE?

Die Schwachstellen, die in der CWE gelistet sind, basieren unter anderem auf einer Punktberechnung. Diese Berechnung ordnet den einzelnen Faktoren eine Gewichtung zu. Anschließend werden diese Gewichtungen auf die unterschiedlichen Bereiche projiziert: Base findings, environmental und attack surface. Die daraus berechneten Subscores bestimmen den allgemeinen CWS-Score und damit das Ranking gemäß der CWE Security Liste.
Dabei handelt es sich jedoch nicht immer um konkrete Bedrohungen, die gezielt geprüft und aufgenommen werden. Einige Punkte auf der Schwachstellenliste sind allgemein gehalten, sodass Sie diese selten direkt in Ihrem Unternehmen umsetzen können. Deshalb lassen sich einige konkrete Sicherheitsbedrohungen nur in Zusammenhang mit aktiven Sicherheitsmaßnahmen erkennen. Dazu gehören beispielsweise Pentests, die Sie dabei unterstützen, Sicherheitslücken zu finden und zu schließen. Dennoch sind die im CWE aufgelisteten Lücken ein wichtiger Anhaltspunkt und zeigen im Pentest, welche Komponenten besondere Aufmerksamkeit erfordern.

Die häufigsten Schwachstellen nach CWE

Mit der Common Weakness Auflistung haben Sie ein wichtiges Hilfsmittel zur Hand, das Sie in der IT-Sicherheit unterstützt. Insbesondere die Kombination aus Funden aus der Open Source Intelligence ermöglicht es Ihnen, gezielt nach Risiken in Ihrem Unternehmen zu suchen. Dabei sollten Sie natürlich nicht nur die obersten Punkte auf der Liste prüfen, sondern auch die grundlegenden Sicherheitslücken. Zu den häufigsten Sicherheitsschwachstellen im Unternehmensalltag gehören die folgenden Schwachstellen.

Out-of-Bounds Write

Bei einer solchen Sicherheitslücke schreibt eine Anwendung Daten in Bereiche, die sich außerhalb des vorgesehenen Eingabepuffers befinden. Klassischerweise treten solche Probleme auf, wenn sich ein Index ändert oder Zeigerarithmetik zum Einsatz kommt. Denn dadurch ist es möglich, dass Sie auf einen Bereich verweisen, der sich nicht länger im Speicherpuffer befindet. Das Ergebnis könnte die Beschädigung von Daten, ein Systemabsturz oder eine unbeabsichtigte Codeausführung sein.

Out-of-Bounds Read

Ähnlich wie die Out-of-Bounds Write Schwachstelle bezieht sich diese Sicherheitslücke ebenfalls auf einen Bereich außerhalb des vorgesehenen Puffers. Der Unterschied besteht jedoch darin, dass das Lesen dieser Informationen auch außerhalb des Ausgabepuffers möglich ist. Auf diese Weise gelingt es Cyberkriminellen, sensible Daten auszulesen oder geheime Werte zu erhalten. Das Gefährliche am Out-of-Bounds Read ist zudem, dass Sie damit die Authentifizierungsmechanismen umgehen können. Es ist deshalb problemlos nachvollziehbar, dass sich diese Sicherheitslücke ebenfalls sehr hoch auf der CWE Skala bewegt.

Neutralisierung von Eingaben

Diese Schwachstelle tritt immer dann auf, wenn bösartiger Code in Websites eingeschleust wird. Deshalb ist die Sicherheitslücke auch als Cross-Site-Scripting bekannt und tritt häufig in dynamisch generierten Internetseiten auf. Akzeptieren diese Seiten nicht vertrauenswürdige Daten ohne ordnungsgemäße Neutralisierung, führt das Script zu unerwünschten Aktionen. In den vergangenen Jahren hat diese Sicherheitslücke an Wichtigkeit zugenommen, weshalb sie ebenfalls auf der CWE Liste zu finden ist.

Eingabevalidierung

Anwendungen, die Eingabedaten akzeptieren, müssen angemessen überprüft werden. Diese Prüfung soll feststellen, ob die Eingaben die erforderlichen Eigenschaften für eine sichere Verarbeitung vorweisen. Entfällt diese Validierung, entsteht eine Sicherheitslücke. Diese können Angreifer dazu nutzen, unerwartete Eingaben zu liefern oder Remotecode auszuführen. Das Ergebnis ist ein veränderter Kontrollflusspfad in der Anwendung, der das zugrunde liegende Architekturkonzept außerkraftsetzen kann.

CWE: MITRE nennt regelmäßig die Top 25 Schwachstellen

Damit Sie beim Pentest die Komponenten mit dem höchsten Gefahrenpotenzial angehen können, veröffentlicht MIRTE regelmäßige die Top 25 Sicherheitslücken. Diese Schwachstellen sind natürlich nicht nur wichtig, wenn Pentests anstehen, sondern auch wenn Sie neue Produkte kaufen oder entwickeln. Mit der regelmäßig aktualisierten Auflistung erhalten Sie einen guten Überblick über die aktuellen Gefahren. Darunter finden sich Authentifizierungsprobleme, kritische Funktionen, aber auch fest codierte Passwörter und Cross-Site Request Forgery. Das breite Spektrum an Schwachstellen zeigt bereits, dass eine regelmäßige Prüfung unbedingt notwendig ist. Schließlich sind solche Sicherheitsrisiken den Cyberkriminellen ebenfalls bekannt. Um Ihr Unternehmen und Ihre sensiblen Geschäftsdaten zu schützen, sollten Sie hohen Wert auf Ihre IT-Sicherheit legen.
Trotzdem lassen sich mit den Top 25 Schwachstellen nicht alle Probleme ausräumen. Jedes Business ist einzigartig und dasselbe gilt für die vorliegenden Problematiken. Deshalb ist es sinnvoll, die Risiken für Schwachstellen von einem Experten realistisch einschätzen zu lassen. Auf diese Weise gelingt es, die individuellen Sicherheitslücken im Unternehmen in den Griff zu bekommen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: