Was ist CWE (Common Weakness Enumeration)?

Die Common Weakness Enumeration stellt eine umfassende Auflistung typischer Schwachstellen in Hard- und Software bereit. Diese frei zugängliche Liste kategorisiert sämtliche bekannten Sicherheitslücken und bildet damit die ideale Grundlage, um sicherheitsrelevante Schwächen zu identifizieren und gezielt zu beheben.

Das bedeutet CWE

Die Abkürzung CWE steht für Common Weakness Enumeration und bezeichnet eine systematische Auflistung unterschiedlicher Schwachstellentypen. Diese betreffen sowohl Hard- als auch Software und werden regelmäßig von der Community gepflegt. Jede Sicherheitslücke ist kategorisiert und mit einer eindeutigen ID versehen, die eine spätere Identifikation erleichtert.

Das wichtigste Ziel dieser Liste ist es, Ihnen eine solide Grundlage für die Vorbeugung und Beseitigung typischer Sicherheitslücken zu bieten. Sie liefert die notwendigen Informationen für Ihr Security Operations Center und unterstützt Sie bei den erforderlichen Gegenmaßnahmen. Aus diesem Grund veröffentlicht die MITRE Corporation seit 2006 regelmäßig diese frei zugängliche Auflistung. Die darin enthaltenen Einträge sind jedoch nicht nur im Rahmen der CWE Security relevant: Sie helfen Softwareentwicklern und Sicherheitsbeauftragten dabei, Risiken in der Hard- und Software frühzeitig zu erkennen und zu vermeiden.

CWE -- was gilt als Schwachstelle?

Der CWE-Security-Aspekt umfasst sämtliche Fehler in Software- und Hardwaresystemen, die zu Sicherheitsproblemen führen können. Werden diese nicht behoben, dienen die Sicherheitslücken Cyberkriminellen als Einfallstor in Ihr Unternehmen.

Die Datenbank kategorisiert mehr als 900 Schwachstellen und gibt Ihrem Security Operations Center damit einen wichtigen Leitfaden an die Hand. Da es bei einer solchen Anzahl nicht immer einfach ist, den Überblick zu behalten, gibt es zusätzlich die CWE Top 25. Diese umfassen die gefährlichsten Sicherheitslücken mit besonders hoher Auswirkung auf Unternehmen. Während hartcodierte Passwörter eher auf den unteren Plätzen rangieren, zählen SQL-Injections und Cross-Site-Scripting zu den schwerwiegendsten Schwachstellentypen.

Was sind die Ziele der CWE?

Im Zuge der Cloud Transformation steigen die Anforderungen an die IT-Sicherheit in Ihrem Unternehmen. Deshalb gilt es, kritische Sicherheitslücken mithilfe von Pentests und Open Source Intelligence möglichst auszuräumen. Die Common Weakness Enumeration hilft Ihnen dabei, den Fokus auf die aktuell wichtigsten Probleme zu richten. Sie verfolgt folgende Ziele:

• Die CWE zeigt typische Fehler und Schwächen in Hard- und Softwarelösungen auf, damit diese behoben werden können, bevor die betroffenen Systeme im Unternehmen zum Einsatz kommen.
• Die Auflistung unterstützt Entwickler, Programmierer und Sicherheitsanalysten bei ihrer täglichen Arbeit.
• Die Liste ermöglicht es der Community, Schwachstellen in einer einheitlichen Sprache zu diskutieren und zu beschreiben.
• Neben einer Übersicht typischer Schwächen bietet sie konzeptionelle Ansätze und Beispiellösungen, an denen Sie sich orientieren können.

Was unterscheidet CWE von OWASP und Co?

Sichere Programmierpraktiken waren schon immer wichtig, doch seit der digitalen Transformation und der Cloud-Migration sind sie unverzichtbar geworden. Entsprechend gibt es mittlerweile zahlreiche Richtlinien, die Programmierer und Sicherheitsforscher unterstützen. Zu den wichtigsten zählen CWE, OWASP und CVE.

• CVE: Eine Liste bekannter Anfälligkeiten von Unternehmensressourcen und Cybersicherheitsschwachstellen.
• CWE: Eine umfassende Schwachstellen-Datenbank, die Sie bei der Identifikation von Schwachstellen und der Behebung von Sicherheitslücken unterstützt. Diese Sammlung stützt sich auf Daten aus OWASP und dem CVE-Bestand.
• OWASP: Diese Gemeinschaftsinitiative veröffentlicht regelmäßig die Top-10-Schwachstellen -- die gefährlichsten Sicherheitslücken in Webanwendungen.

Wie funktioniert CWE?

Die in der CWE gelisteten Schwachstellen basieren unter anderem auf einer Punktberechnung. Diese ordnet den einzelnen Faktoren eine Gewichtung zu, die anschließend auf verschiedene Bereiche projiziert wird: Base Findings, Environmental und Attack Surface. Die daraus berechneten Subscores bestimmen den allgemeinen CWE-Score und damit das Ranking in der CWE Security Liste.

Allerdings handelt es sich nicht immer um konkrete Bedrohungen, die gezielt geprüft und aufgenommen werden. Einige Einträge auf der Schwachstellenliste sind bewusst allgemein gehalten, sodass sie sich selten direkt im Unternehmen umsetzen lassen. Bestimmte Sicherheitsbedrohungen lassen sich daher nur mithilfe aktiver Sicherheitsmaßnahmen aufdecken -- etwa durch Pentests, die Sie dabei unterstützen, Sicherheitslücken zu finden und zu schließen. Dennoch liefern die in der CWE aufgelisteten Schwachstellen wichtige Anhaltspunkte und zeigen im Pentest, welche Komponenten besondere Aufmerksamkeit erfordern.

Die häufigsten Schwachstellen nach CWE

Mit der Common Weakness Enumeration steht Ihnen ein wichtiges Hilfsmittel für die IT-Sicherheit zur Verfügung. Insbesondere in Kombination mit Open Source Intelligence ermöglicht sie es, gezielt nach Risiken in Ihrem Unternehmen zu suchen. Dabei sollten Sie nicht nur die obersten Einträge der Liste prüfen, sondern auch die grundlegenden Sicherheitslücken im Blick behalten. Zu den häufigsten Schwachstellen im Unternehmensalltag gehören die folgenden.

Out-of-Bounds Write

Bei dieser Sicherheitslücke schreibt eine Anwendung Daten in Bereiche außerhalb des vorgesehenen Eingabepuffers. Solche Probleme treten typischerweise auf, wenn sich ein Index ändert oder Zeigerarithmetik zum Einsatz kommt, wodurch auf einen Bereich verwiesen wird, der sich nicht mehr im Speicherpuffer befindet. Die Folgen können Datenbeschädigungen, Systemabstürze oder unbeabsichtigte Codeausführungen sein.

Out-of-Bounds Read

Ähnlich wie die Out-of-Bounds-Write-Schwachstelle bezieht sich auch diese Sicherheitslücke auf einen Bereich außerhalb des vorgesehenen Puffers. Der Unterschied besteht darin, dass hier das Lesen von Informationen außerhalb des Ausgabepuffers möglich ist. Dadurch gelingt es Cyberkriminellen, sensible Daten auszulesen oder geheime Werte abzugreifen. Besonders gefährlich: Über einen Out-of-Bounds Read lassen sich auch Authentifizierungsmechanismen umgehen. Es ist daher nachvollziehbar, dass diese Sicherheitslücke ebenfalls sehr hoch auf der CWE-Skala rangiert.

Neutralisierung von Eingaben

Diese Schwachstelle tritt auf, wenn bösartiger Code in Websites eingeschleust wird. Sie ist auch als Cross-Site-Scripting bekannt und kommt häufig bei dynamisch generierten Internetseiten vor. Akzeptieren solche Seiten nicht vertrauenswürdige Daten ohne ordnungsgemäße Neutralisierung, führt das eingeschleuste Script zu unerwünschten Aktionen. In den vergangenen Jahren hat diese Sicherheitslücke erheblich an Bedeutung gewonnen, weshalb sie auf der CWE-Liste prominent vertreten ist.

Eingabevalidierung

Anwendungen, die Eingabedaten akzeptieren, müssen diese angemessen überprüfen. Die Validierung stellt sicher, dass die Eingaben die erforderlichen Eigenschaften für eine sichere Verarbeitung aufweisen. Fehlt diese Prüfung, entsteht eine Sicherheitslücke, die Angreifer ausnutzen können, um unerwartete Eingaben einzuschleusen oder Remotecode auszuführen. Das Ergebnis ist ein veränderter Kontrollflusspfad in der Anwendung, der das zugrunde liegende Architekturkonzept außer Kraft setzen kann.

CWE: MITRE nennt regelmäßig die Top 25 Schwachstellen

Damit Sie beim Pentest die Komponenten mit dem höchsten Gefahrenpotenzial gezielt angehen können, veröffentlicht MITRE regelmäßig die Top 25 Sicherheitslücken. Diese Schwachstellen sind nicht nur bei anstehenden Pentests relevant, sondern auch beim Kauf oder bei der Entwicklung neuer Produkte. Die regelmäßig aktualisierte Auflistung verschafft Ihnen einen guten Überblick über aktuelle Gefahren -- darunter Authentifizierungsprobleme, kritische Funktionen, fest codierte Passwörter und Cross-Site Request Forgery. Das breite Spektrum an Schwachstellen zeigt, dass eine regelmäßige Prüfung unbedingt notwendig ist, denn Cyberkriminelle kennen diese Sicherheitsrisiken ebenfalls. Um Ihr Unternehmen und Ihre sensiblen Geschäftsdaten zu schützen, sollten Sie hohen Wert auf Ihre IT-Sicherheit legen.

Dennoch lassen sich mit den Top 25 Schwachstellen nicht sämtliche Probleme beseitigen. Jedes Unternehmen ist einzigartig -- und dasselbe gilt für die jeweiligen Sicherheitsherausforderungen. Deshalb empfiehlt es sich, die Risiken von einem Experten realistisch einschätzen zu lassen. So gelingt es, die individuellen Sicherheitslücken im Unternehmen wirksam in den Griff zu bekommen.