Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 4 min Lesezeit

CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt

Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Moderne IT News Grafik zum CISA Known Exploited Vulnerabilities Catalog mit Serverinfrastruktur, Cybersecurity Netzwerk und Sicherheitswarnungen für IT Administratoren zur Priorisierung aktiv ausgenutzter Schwachstellen.

Der Known Exploited Vulnerabilities Catalog der US-Cybersicherheitsbehörde CISA ist nicht nur eine Liste, sondern ein funktionierender Frühwarnmechanismus für Administratoren. Er dokumentiert Schwachstellen, für die aktive Angriffe in der Praxis nachgewiesen sind. Wer ihn regelmäßig prüft, patcht schneller und gezielter als jeder, der nur auf CVSS-Scores schaut.

Was der KEV-Katalog ist

Der Katalog umfasst derzeit über 1.600 Einträge. Jeder Eintrag verweist auf eine konkrete Schwachstelle mit CVE-Nummer, betroffenem Produkt, Hersteller, einer Kurzzusammenfassung der Ausnutzbarkeit und einer Frist, bis zu der US-Bundesbehörden patches einspielen müssen. CISA ergänzt den Katalog kontinuierlich, sobald neue Angriffe bestätigt sind. Die Einträge enthalten zudem einen Verweis auf BOD 26-04 (Binding Operational Directive), die CISA-Richtlinie zur risikobasierten Priorisierung von Sicherheitsupdates.

Entscheidend ist der Unterschied zwischen einer theoretischen Schwachstelle und einer aktiv ausgenutzten. Der KEV-Katalog listet nur Letztere. Für Admins bedeutet das: Wer hier fündig wird, steht höher auf der Prioritätenliste als bei einer Lücke mit hohem CVSS-Wert ohne bekannte Angriffe.

Aktuelle Beispiele aus dem KEV-Katalog

Die folgenden Einträge sind in der Juni-Woche 2026 hinzugekommen und zeigen das breite Spektrum betroffener Produkte:

CVEProduktLückeAktiv ausgenutztFrist (BOD 26-04)
CVE-2026-48907Joomla Content Editor (JCE)Unzureichende Zugriffskontrolle, RCE über ungeauthentifizierte Profil-ErstellungJa19.06.2026
CVE-2026-54420LiteSpeed cPanel PluginSymlink-Following, lokale Rechteausweitung auf Shared-HostingJa18.06.2026
CVE-2026-20262Cisco Catalyst SD-WAN ManagerPath Traversal, authentifizierter Angreifer überschreibt DateienJa29.06.2026
CVE-2026-35273Oracle PeopleSoft PeopleToolsFehlende Authentifizierung, mögliche SystemübernahmeJa, Ransomware-bekannt15.06.2026
CVE-2026-10520Ivanti SentryOS Command Injection, ungeauthentifiziertes Root-RCEJa14.06.2026
CVE-2026-11645Google Chromium V8Out-of-Bounds Read/Write, RCE über HTML-SeiteJa23.06.2026
CVE-2026-50751Check Point Security GatewayAuthentifizierungs-Bypass in IKEv1, Remote-VPN-ZugriffJa, Ransomware-bekannt11.06.2026

Auffällig ist, dass zwei Einträge explizit mit Ransomware-Kampagnen in Verbindung stehen (Oracle PeopleSoft und Check Point). CISA markiert diese im Feld knownRansomwareCampaignUse mit Known. Für Admins ist das ein deutliches Signal, dass nicht nur theoretischer Schaden droht, sondern konkrete Erpressungsszenarien.

Warum CVSS alleine nicht reicht

Ein CVSS-Score von 9.8 wirkt alarmierend, sagt aber nichts darüber aus, ob ein Angriff in der Praxis stattfindet. Eine Schwachstelle mit CVSS 7.5, die aktiv ausgenutzt wird, ist dringlicher als eine 9.8-Lücke ohne bekannte Angriffe. Der KEV-Katalog ergänzt CVSS um den Faktor reale Bedrohung und macht Patch-Priorisierung damit belastbar.

CISA geht in BOD 26-04 noch weiter: US-Bundesbehörden müssen KEV-Einträge innerhalb einer gesetzten Frist patchen oder absichern. Wer das nicht tut, muss das Risiko dokumentieren und begründen. Für deutsche KMU gibt es keine gesetzliche Pflicht, aber die Logik lässt sich direkt übernehmen: KEV-Treffer im eigenen Bestand bedeutet höchste Priorität.

Praxis für Admins im KMU

Für Administratoren kleiner und mittlerer Unternehmen ist der KEV-Katalog kein abstraktes Werkzeug, sondern ein konkreter Filter. Daraus lassen sich folgende Schritte ableiten:

  1. Inventar prüfen: Welches Produkt aus dem eigenen Bestand taucht im KEV-Katalog auf? Das kann Cisco SD-WAN, Exchange, WordPress-Plugins, LiteSpeed oder ein Browser-Engine-Update betreffen.
  2. Frist übernehmen: Die von CISA gesetzte Frist als internes Deadline setzen. Wenn CISA drei Wochen gibt, sollte das KMU das gleiche oder kürzer ansetzen.
  3. Internet-exponierte Systeme zuerst: Systeme mit direktem Internetkontakt (VPN-Gateways, Webserver, Remote-Management) vor internen Systemen patchen.
  4. Nach dem Patch prüfen: Nicht nur installieren, sondern auch auf Kompromittierungszeichen prüfen. CISA nennt das Forensics Triage. Wer keine eigene Forensik betreibt, sollte zumindest Logs auf ungewöhnliche Zugriffe prüfen.
  5. Ransomware-Markierung beachten: Wenn CISA Known setzt, ist das ein Signal für erhöhte Brisanz. Hier sollte die Frist besonders eng gefasst werden.

Bindung an bestehende Prozesse

Der KEV-Katalog lässt sich in vorhandene Patchmanagement-Prozesse einbinden, ohne die Struktur zu ändern. Wer bereits monatlich Microsoft-Patchday, wöchentliche WordPress-Updates und regelmäßige Linux-Updates durchführt, ergänzt einfach einen KEV-Check pro Woche. Das kann ein manueller Abgleich sein oder eine automatisierte Abfrage der CISA-JSON-Datei gegen das eigene Asset-Inventar.

Werkzeuge wie Trivy können Container-Images gegen CVE-Datenbanken scannen. Die KEV-Liste lässt sich zusätzlich als Filter einsetzen: Ein CVE, das sowohl in Trivy als auch im KEV-Katalog auftaucht, bekommt automatisch die höchste Priorität.

Grenzen des KEV-Katalogs

Der Katalog ist US-fokussiert und deckt nur Schwachstellen ab, die CISA selbst bestätigt. Das bedeutet: Nicht jeder aktive Angriff weltweit taucht sofort auf. Auch kann es Tage dauern, bis ein Eintrag nach einer ersten Angriffsmeldung erscheint. Für Admins ist der KEV-Katalog deshalb eine wertvolle Ergänzung, aber kein Ersatz für Hersteller-Advisories und eigene Monitoring-Quellen.

Zudem listet CISA nur Produkte, die in US-Bundesbehörden eingesetzt werden. Spezielle deutsche Produkte oder Nischensoftware können fehlen. Die Liste ist dennoch nützlich, weil sie die international relevanten Angriffe abdeckt.

Passende Anleitungen auf S-EDV

Quellen

cisakev-katalogpatch-priorisierungsecurityschwachstellen
Verwandt

Weiter lesen

Alle Artikel →
NIS2 IT News Grafik: Das BSI erinnert Unternehmen an die abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung für die NIS2 Registrierung. Dargestellt sind Serverinfrastruktur, Cybersicherheit und digitale Netzwerke in moderner Nachrich
18.06.2026 ·3 min

NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung

Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.
IT News Grafik zu einem WordPress Supply Chain Angriff, bei dem kompromittierte ShapePlugin Pro Plugins über offizielle Update Server mit einer Backdoor ausgeliefert werden. Zu sehen sind ein Update Server, Plugin Module, ein Warnsignal und eine Backdoor
17.06.2026 ·4 min

WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert

Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.
Moderne IT-News-Grafik zu Pwn2Own Ireland 2025 über eine kritische Sicherheitslücke in der Synology BeeStation, die eine vollständige Systemübernahme ermöglicht, mit NAS-Gerät, Warnsymbol, Schutzschild und Update-Hinweis.
16.06.2026 ·3 min

Pwn2Own Ireland 2025: Kritische Lücke in Synology BeeStation ermöglicht vollständige Übernahme

Synology-Patch-News vom 27.05.2026: Drei Advisoires aus Pwn2Own Ireland 2025 mit Updates fuer BeeStation, DSM und C2 Identity Edge Server.