CWE – CVE – CVSS: Was ist der Unterschied?
Diese drei Kürzel tauchen ständig zusammen auf und werden trotzdem oft durcheinandergeworfen: CWE, CVE und CVSS. Dabei beschreiben sie drei völlig unterschiedliche Dinge. MITRE beschreibt CWE als Liste von Software- und Hardware-Schwachstellentypen, das CVE-Programm beschreibt CVE als Katalog öffentlich bekannt gemachter Schwachstellen, und FIRST beschreibt CVSS als Standard, mit dem sich die Schwere einer Schwachstelle numerisch bewerten lässt.
Die kurze Antwort
Ganz knapp gesagt:
- CWE beschreibt die Art des zugrunde liegenden Fehlers.
- CVE bezeichnet eine konkrete öffentlich bekannte Schwachstelle.
- CVSS bewertet, wie schwerwiegend diese konkrete Schwachstelle ist.
Oder noch einfacher: CWE ist die Schwachstellenklasse, CVE ist der konkrete Fall, CVSS ist die Bewertung der Schwere. Das passt auch zur offiziellen Einordnung: CWE steht für "weakness types", CVE für "einzelne katalogisierte vulnerabilities", und CVSS für deren "Severity Score".
CWE: der Fehlertyp
CWE steht für Common Weakness Enumeration. Dabei handelt es sich um eine community-getriebene Liste von häufigen Software- und Hardware-Schwachstellentypen. Wichtig ist dabei das Wort weakness: Gemeint ist nicht der einzelne veröffentlichte Sicherheitsfall, sondern die zugrunde liegende Schwäche oder Fehlerklasse, die später zu konkreten Schwachstellen führen kann. Eine Weakness ist eine Bedingung in Software, Firmware, Hardware oder einem Service, die unter bestimmten Umständen zur Einführung von Schwachstellen beitragen kann.
Praktisch sind CWEs also Dinge wie:
- SQL Injection (CWE-89);
- Cross-Site Scripting (CWE-79);
- Use After Free (CWE-416);
- Hardcoded Password (CWE-259);
- Improper Access Control (CWE-284);
CWE hilft vor allem dabei, Ursachen zu benennen und nicht nur Symptome. Genau deshalb ist CWE besonders für Entwicklung, Architektur, sichere Codierung und Root-Cause-Analysen interessant.
CVE: der konkrete öffentlich bekannte Sicherheitsfall
CVE steht für Common Vulnerabilities and Exposures. Das CVE-Programm beschreibt seine Aufgabe so: öffentlich bekannt gemachte Cybersicherheitslücken identifizieren, definieren und katalogisieren. Für jede katalogisierte Schwachstelle gibt es genau einen CVE Record. CVE ist dabei laut offizieller FAQ keine eigene Vulnerability Database, sondern vor allem ein gemeinsamer Referenzpunkt, damit Menschen und Tools sicher über dieselbe Schwachstelle sprechen können.
Das ist der praktische Nutzen von CVE: Wenn mehrere Tools, Scanner, Herstellerhinweise und Datenbanken alle von CVE-2026-12345 sprechen, ist klar, dass sie denselben konkreten Fall meinen. Genau diese gemeinsame Referenz ist der eigentliche Wert von CVE.
CVSS: die Schwerebewertung
CVSS steht für Common Vulnerability Scoring System. FIRST beschreibt CVSS als Standard, der die wesentlichen Eigenschaften einer Schwachstelle erfasst und daraus einen numerischen Score ableitet, der ihre Schwere widerspiegelt. Dieser Score lässt sich dann in qualitative Stufen wie Low, Medium, High oder Critical übersetzen. Die aktuelle Generation ist CVSS v4.0.
Wichtig ist: CVSS sagt nicht, welche Art von Schwachstelle vorliegt. Und CVSS ist auch nicht die Schwachstelle selbst. CVSS sagt nur, wie schwerwiegend ein konkreter Fall eingeschätzt wird. Das macht CVSS vor allem für Priorisierung und Schwachstellenmanagement nützlich. Auch die NVD beschreibt genau diese Nutzung: CVSS hilft bei der Bewertung und Priorisierung von Schwachstellen.
Warum die drei so oft verwechselt werden
Die Verwechslung ist naheliegend, weil die drei Begriffe häufig gemeinsam in einem Datensatz auftauchen (und auch ein bisschen ähnlich klingen). Ein konkreter CVE-Eintrag kann mit einer oder mehreren CWEs verknüpft werden, um die Root Cause zu benennen. Das CVE-Record-Format erlaubt die Aufnahme von CWE-Informationen, und laut CVE User Guide repräsentieren CWEs die Root Causes von CVE Records. Zusätzlich wird für viele veröffentlichte CVEs ein CVSS-Score vergeben, etwa durch die NVD, die CVSS-Enrichment für veröffentlichte CVE Records bereitstellt.
Genau dadurch entsteht oft dieses Paket im Kopf:
CVE mit CWE und CVSS zusammen.
Aber inhaltlich bleiben es drei verschiedene Ebenen.
Eine einfache Merkhilfe
Wenn Sie sich nur eine Sache merken wollen, dann diese:
- CWE = Welches Fehler-Pattern liegt der Schwachstelle zu Grunde?
- CVE = Welche konkrete Schwachstelle wurde öffentlich bekannt?
- CVSS = Wie kritisch ist die Schwachstelle?
Das ist die sauberste und in der Praxis nützlichste Trennung. Sie passt direkt zu den offiziellen Definitionen von MITRE, CVE und FIRST.
Beispiel für die Verkettung von CWE, CVE und CVSS
Nehmen wir ein einfaches, fiktives Beispiel:
Ein Hersteller bringt eine Webanwendung heraus.
In einem Upload-Formular prüft die Anwendung Dateinamen und Inhalte nicht sauber. Dadurch kann ein Angreifer schädlichen Code einschleusen und später ausführen.
Dann sieht die Verkettung so aus:
1. CWE
Der zugrunde liegende Fehlertyp wird einer passenden CWE zugeordnet.
Das wäre hier die Schwachstellenklasse, also die eigentliche Ursache auf Design- oder Code-Ebene. CWE beschreibt genau diese Root-Cause-Ebene. (Vermutlich wäre dies CWE-434.)
2. CVE
Wird genau dieser konkrete Fehler in genau diesem Produkt öffentlich bekannt und katalogisiert, erhält er eine CVE-ID, zum Beispiel fiktiv CVE-2026-12345. (Jahreszahl - Vulnerability-ID aufsteigend).
Ab dann können Hersteller, Scanner, Datenbanken und Kunden genau über diesen einen Fall sprechen.
3. CVSS
Anschließend wird bewertet, wie schwerwiegend dieser konkrete Fall ist.
Wenn die Lücke aus der Ferne ohne Authentisierung ausnutzbar ist und eine hohe Auswirkung hat, könnte sie zum Beispiel einen CVSS Score von 9.8 bekommen.
Dann wäre die Schwachstelle nach CVSS sehr kritisch. CVSS bildet genau diese Severity-Ebene ab.
Kurz gesagt:
CWE = Fehlerklasse
CVE = konkreter veröffentlichter Fall
CVSS = Kritikalität dieses Falls
Was das für Unternehmen praktisch bringt
Diese Unterscheidung ist nicht nur Begriffskosmetik. Sie hilft in der Praxis an drei Stellen:
1. Im Schwachstellenmanagement
Wenn Ihr Scanner CVEs meldet, hilft CVSS bei der Priorisierung.
Die NVD beschreibt CVSS genau als Faktor für Priorisierung und Remediation.
2. In der Entwicklung
Wenn sich mehrere Vorfälle immer wieder derselben CWE zuordnen lassen, sehen Sie nicht nur einzelne Symptome, sondern ein wiederkehrendes Muster in Architektur, Code oder Entwicklungsprozess. CWE ist genau für diese Root-Cause-Perspektive gedacht.
3. In Kommunikation und Reporting
CVE schafft die gemeinsame Sprache zwischen Herstellern, Tools, CERTs und Kunden. Genau diesen Referenznutzen beschreibt das CVE-Programm ausdrücklich.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: „CWE, CVE und CVSS sind halt verschiedene Namen für dieselbe Schwachstelle.“ Das stimmt nicht. CWE ist keine konkrete Schwachstelle, CVE ist keine Schwerebewertung und CVSS ist kein Fehlertyp. Wer diese Ebenen trennt, versteht Schwachstellenmanagement deutlich besser. Die offiziellen Definitionen von MITRE, CVE und FIRST machen genau diese Trennung klar.
FAQ
Unser Tipp
CWE, CVE und CVSS gehören zusammen, sind aber nicht dasselbe. CWE beschreibt die Schwachstellenklasse. CVE bezeichnet die konkrete veröffentlichte Schwachstelle. CVSS bewertet deren Schwere. Wer diese drei Ebenen sauber trennt, versteht Schwachstellenmanagement, Entwicklerkommunikation und Priorisierung deutlich besser. Und genau das macht im Alltag einen echten Unterschied.
Interesse geweckt?
Wenn Sie im Rahmen einer ISO 27001-Zertifizierung Schwachstellenmanagement in Ihrem Unternehmen nicht nur technisch, sondern auch organisatorisch sauber aufsetzen wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!