CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)
Was ist CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)?
CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)Eine von der US-Behörde CISA gepflegte Liste von CVEs mit glaubwürdigen Belegen für eine aktive Ausnutzung in freier Wildbahn, verbunden mit verbindlichen Behebungsfristen für zivile US-Bundesbehörden und von Unternehmen breit als Priorisierungssignal genutzt.
Der CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) ist eine von der US-amerikanischen Cybersecurity and Infrastructure Security Agency gepflegte Liste von Schwachstellen, für die der CISA glaubwürdige Belege für eine aktive Ausnutzung in freier Wildbahn vorliegen. KEV wurde im November 2021 im Rahmen der Binding Operational Directive 22-01 eingeführt, die die Behebung gelisteter CVEs für die zivilen Behörden der US-Bundesexekutive (FCEB) innerhalb einer festgelegten Frist (typischerweise zwei bis drei Wochen) verpflichtend macht. Jeder Eintrag enthält die CVE, Hersteller/Produkt, eine kurze Beschreibung, die erforderliche Maßnahme, das Fälligkeitsdatum, das Datum der Aufnahme und — seit 2024 — eine Kennzeichnung, ob die Schwachstelle bekanntermaßen in Ransomware-Kampagnen genutzt wird.
Die Aufnahmekriterien sind bewusst streng gehalten: Eine CVE wird nur dann aufgenommen, wenn ihr eine CVE ID zugewiesen wurde, zuverlässige Belege für eine aktive Ausnutzung vorliegen (nicht bloß ein öffentlicher Proof-of-Concept oder Scan-Aktivität) und eine klare Behebung wie ein Hersteller-Patch existiert. Genau diese Hürde macht KEV so wertvoll — sie filtert aus den jährlich veröffentlichten ~40,000 CVEs den kleinen Bruchteil heraus, den Angreifer tatsächlich zur Waffe machen. Der Katalog wuchs von 1,239 Einträgen Ende 2024 auf 1,484 Ende 2025 (245 in jenem Jahr hinzugekommen, ein Zuwachs von ~20%) und umfasst Betriebssysteme, Netzwerkgeräte, VPNs, RMM-Tools, Produktivitätssoftware, Browser und ICS. Sich schnell verbreitende Zero-Days in Edge-Geräten wie PAN-OS CVE-2024-3400 und die Ivanti-Connect-Secure-Kette (CVE-2023-46805 + CVE-2024-21887) wurden innerhalb weniger Tage nach ihrer öffentlichen Bekanntgabe aufgenommen.
Trotz seines formal auf die US-Bundesebene beschränkten Geltungsbereichs ist KEV zum faktischen branchenübergreifenden Priorisierungssignal geworden — unternehmensweite Schwachstellenmanagement-Programme und Cyber-Versicherer behandeln die Aufnahme in KEV als „sofort patchen"-Markierung, und ASPM/CSPM-Plattformen zeigen den KEV-Status neben der CVSS-Schwere, der EPSS-Wahrscheinlichkeit (Exploit Prediction Scoring System) und der Code-Erreichbarkeit an. Über die Anbindung des maschinenlesbaren JSON/CSV-Feeds können Teams jedes Asset, auf dem ein in KEV gelistetes Produkt läuft, automatisch eskalieren.
flowchart TD
A[Neue CVE veröffentlicht] --> B{Erfüllt alle 3 KEV-Kriterien?}
B --> C[CVE ID zugewiesen]
B --> D[Zuverlässige Belege für aktive Ausnutzung]
B --> E[Klare Behebung verfügbar]
C & D & E -->|Alles ja| F[In KEV Catalog aufgenommen]
B -->|Ein Nein z. B. nur PoC| G[Nicht aufgenommen]
F --> H[BOD 22-01: FCEB-Frist gesetzt]
F --> I[Unternehmen + Versicherer behandeln als jetzt patchen]
F --> J[Speist ASPM/CSPM mit EPSS + CVSS + Erreichbarkeit]
style F fill:#27ae60,color:#fff
style G fill:#7f8c8d,color:#fff● Beispiele
- 01
Ein FortiManager-'FortiJump'-CVE-2024-47575 wird an dem Tag zu KEV hinzugefügt, an dem Mandiant den Beitrag veröffentlicht; FCEB-Behörden haben eine strikte Frist zum Patchen.
- 02
Eine unternehmensweite Richtlinie zur Patch-Priorisierung schreibt vor, jede in KEV gelistete CVE innerhalb von sieben Tagen zu beheben, unabhängig von CVSS, EPSS oder Kritikalität des Assets.
● Häufige Fragen
Was ist CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)?
Eine von der US-Behörde CISA gepflegte Liste von CVEs mit glaubwürdigen Belegen für eine aktive Ausnutzung in freier Wildbahn, verbunden mit verbindlichen Behebungsfristen für zivile US-Bundesbehörden und von Unternehmen breit als Priorisierungssignal genutzt. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)?
Eine von der US-Behörde CISA gepflegte Liste von CVEs mit glaubwürdigen Belegen für eine aktive Ausnutzung in freier Wildbahn, verbunden mit verbindlichen Behebungsfristen für zivile US-Bundesbehörden und von Unternehmen breit als Priorisierungssignal genutzt.
Wie schützt man sich gegen CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)?
Schutzmaßnahmen gegen CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV)?
Übliche alternative Bezeichnungen: KEV, Bekannte ausgenutzte Schwachstellen.