Vulnerability Scanner mit CISA KEV: Richtig priorisieren statt überall flicken
Jährlich werden 28.000+ neue CVEs gemeldet. Niemand kann alle patchen. Mit CISA KEV und EPSS-Scores priorisieren Sie auf die Schwachstellen, die wirklich ausgenutzt werden — hier zeigen wir, wie das mit ITscanner geht.
Das CVE-Flood-Problem
2024 wurden 28.961 neue CVEs registriert (Stand NVD), 2025 lagen es bei über 31.000. Klassische Vulnerability-Tools werfen Ihnen pro Monat Hunderte Findings vor die Füße — die meisten davon irrelevant.
Die zwei Datenquellen, die das Problem lösen:
- CISA KEV (Known Exploited Vulnerabilities): Eine Liste der US-Cybersecurity-Behörde mit den ~1.500 CVEs, die aktiv in freier Wildbahn ausgenutzt werden. Aktualisiert mehrmals pro Woche.
- FIRST EPSS (Exploit Prediction Scoring System): Ein Machine-Learning-Modell, das die Wahrscheinlichkeit ausrechnet, dass ein CVE in den nächsten 30 Tagen ausgenutzt wird. Werte 0-100%.
Statt „alle Critical-CVEs patchen" sortieren Sie nach „CISA-KEV-gelistet ODER EPSS > 70%". Das reduziert die Arbeitsliste typischerweise von 200 auf 8 CVEs pro Monat.
Wie ITscanner CVEs erkennt
Der ITscanner-Vulnerability-Scanner arbeitet wie folgt:
- Software-Inventar: Beim Standard-Scan wird die Liste installierter Programme + Versionen pro Host erfasst.
- CPE-Matching: Software-Namen + Versionen werden in CPE-Strings übersetzt (z. B.
cpe:2.3:a:microsoft:office:2019:*:*:*:*:*:*:*). - NVD-Datenbank-Sync: Alle 24 Stunden zieht ITscanner das CVE-Delta aus der NIST NVD API 2.0. Das ist die offizielle Quelle, kostenfrei und ohne Lizenz-Beschränkung.
- CISA-KEV-Sync: Die KEV-JSON von CISA wird mehrmals täglich gezogen. Trefferquote markiert kritische CVEs.
- EPSS-Score-Anreicherung: Pro CVE wird der aktuelle EPSS-Score (0-100%) abgefragt.
- Matching: Vorhandene Software + gefundene CVE werden korreliert. Ergebnis: gefilterte Findings-Liste.
Beispiel: Patch-Priorisierung im Real-World
Aus einem echten KMU-Audit Anfang 2026 (Namen anonymisiert):
| CVE | Software | CVSS | EPSS | CISA KEV | Hosts | Action |
|---|---|---|---|---|---|---|
| CVE-2025-21298 | Windows OLE | 9.8 | 94% | ⚠ JA | 3 | SOFORT patchen |
| CVE-2024-49138 | CLFS Driver | 9.1 | 88% | ⚠ JA | 5 | SOFORT patchen |
| CVE-2024-43451 | NTLM Hash Disclosure | 8.6 | 71% | ⚠ JA | 12 | Diese Woche |
| CVE-2025-24054 | SMB Client | 7.5 | 42% | — | 8 | Im Patchday |
| CVE-2025-26630 | Microsoft Office | 6.5 | 15% | — | 2 | Kommender Patch |
| CVE-2025-21366 | Excel Engine | 5.5 | 3% | — | 1 | Niedrige Prio |
Ohne CISA-KEV-Filter wären alle 6 als „Critical" oder „High" markiert. Mit Filter sehen Sie sofort: 3 CVEs erfordern Action diese Woche, der Rest läuft im normalen Patchzyklus.
Workflow für KMU: Wöchentliche Vulnerability-Review
Montag morgen, 15 Minuten
- Im Tab „Vulnerabilities" Filter setzen: KEV=Ja ODER EPSS≥50%.
- Liste durchgehen, pro Eintrag entscheiden: Patch verfügbar? Compensating Control? Whitelist?
- Im Ticketing-System Aufgaben anlegen (z. B. „Patch CVE-2025-21298 auf SRVDC01, SRVEXCH01, SRVFILE01 bis Mittwoch").
- Mit Klick auf „Quittieren" markieren Sie Findings, die in Bearbeitung sind. Das blendet sie für den nächsten Review aus, ohne sie zu löschen.
Freitag nachmittag, 5 Minuten
- Compliance-Bericht generieren — listet alle quittierten + offenen CVEs der Woche.
- Bei BSI-Audits + Versicherungs-Fragebögen ist diese Wochen-Doku das stärkste Argument.
Whitelisting: Wenn Sie wirklich nicht patchen können
Manchmal geht ein Patch nicht — Legacy-Software, Vendor-Abhängigkeit, getestete Kompatibilität gefährdet. Dann brauchen Sie eine dokumentierte Whitelist nach BSI APP.4.4:
- Begründung: warum kann nicht gepatched werden? (Pflicht-Feld in ITscanner)
- Compensating Controls: was tun Sie stattdessen? (z. B. „Host vom Netz isoliert", „nur über VPN erreichbar", „Firewall-Regel blockiert SMB").
- Ablauf-Frist: bis wann gilt die Ausnahme? Danach automatisch zur erneuten Prüfung.
- Genehmiger: wer hat das genehmigt? (Pflicht-Feld, für Audit-Trail).
Auditoren akzeptieren Whitelists, wenn diese vier Felder ausgefüllt sind. Eine Whitelist ohne Begründung ist sofort ein BSI-Verstoß.
Was ITscanner NICHT macht (und was nicht von ihm zu erwarten ist)
Ehrlichkeitscheck — der ITscanner-Vulnerability-Scanner ist ein Asset-Vulnerability-Scanner, kein vollständiger Penetration-Tester. Konkret:
- Kein Active-Probing — wir fragen Versionen aus dem Software-Inventar ab, nicht durch Exploit-Versuche.
- Kein Network-Penetration — Brute-Force, SQL-Injection, XSS-Tests gehören in OpenVAS oder Nessus.
- Kein Web-App-Scanning — für eigene Webanwendungen braucht es Tools wie Burp Suite oder OWASP ZAP.
Was wir LIEFERN: einen vollständigen, BSI-konformen Software-CVE-Audit für das ganze Windows/Linux-Netzwerk, jeden Tag aktualisiert. Das deckt 80% des praktischen Vulnerability-Managements ab.
ITscanner jetzt 7 Tage testen — Flat-Rate 49,50 €/Jahr
Vollständige Funktionen, keine Asset-Limits, keine Cloud, keine Kreditkarte. Aktivieren in 5 Minuten.
Kostenlos herunterladen Vergleich mit Docusnap & Lansweeper →