Die Bundesbehörde für Cybersicherheit hat einen neuen Weg geschaffen, damit Personen außerhalb der US-Regierung Schwachstellen an ihren Katalog von ausgenutzten Fehlern melden können. ### Optimierte Schwachstellenmeldung **CISA** kündigte am Donnerstag die Einrichtung eines Nominierungsformulars an, das es „Forschern, Anbietern und Industriepartnern“ ermöglicht, Fehler zu melden, die dem **Known Exploited Vulnerabilities (KEV)**-Katalog hinzugefügt werden müssen – ein wichtiges Werkzeug, das zu einer kritischen Ressource für die Cybersicherheits-Community geworden ist. „Jeden Tag arbeitet **CISA** mit Sicherheitsexperten und Industriepartnern zusammen, die ausgenutzte Schwachstellen identifizieren und melden. Diese neue Meldefunktion verbessert die Fähigkeit von **CISA**, kritische Bedrohungsinformationen zu identifizieren, zu validieren und schnell zu teilen“, sagte Chris Butera, **CISA**s amtierender Executive Assistant Director für Cybersicherheit. „Früherkennung und koordinierte Offenlegung von Schwachstellen gehören zu den mächtigsten Werkzeugen, die wir haben, um Risiken in großem Maßstab zu reduzieren. **CISA** ermutigt Forscher und Organisationen dringend, Schwachstellenbedrohungen zu teilen und uns dabei zu helfen, die Systeme zu sichern, auf die sich die Amerikaner täglich verlassen.“ Experten können nun Schwachstellen über ein [Nominierungsformular](https://cisasurvey.gov1.qualtrics.com/jfe/form/SV_1Zwu52kgK2OYf3w) oder per E-Mail einreichen und müssen Informationen über den Fehler sowie Nachweise für dessen Ausnutzung bereitstellen. ### Die Bedeutung des KEV-Katalogs Der Katalog, umgangssprachlich als KEV bekannt, soll Cybersicherheitsverteidigern innerhalb der Bundesregierung eine maßgebliche Liste von Software- und Hardware-Schwachstellen liefern, die innerhalb eines bestimmten Zeitrahmens – in der Regel drei Wochen – behoben werden müssen. Er hat es Verteidigern ermöglicht, sich auf die Behebung von Schwachstellen zu konzentrieren, die aktiv von Hackern und staatlichen Akteuren ausgenutzt werden. Die Behörde erklärte, dass die Meldung von Fehlern an **CISA** „unerlässlich für die Cybersicherheitslage der Nation ist und dazu beiträgt, dass ausgenutzte Schwachstellen frühzeitig entdeckt, verantwortungsvoll kommuniziert und schnell über föderale, private und kritische Infrastrukturnetzwerke behoben werden.“ Robert Costello, der fast fünf Jahre lang als Chief Information Officer von **CISA** tätig war, bevor er im März ausschied, sagte, das neue Einreichungsformular sei eine Möglichkeit für die Behörde, ihre Partnerschaft mit der Cybersicherheits-Forschungsgemeinschaft auf sehr praktische Weise zu operationalisieren. „Crowdsourcing von Ausnutzungsintelligenz durch einen standardisierten Nominierungsprozess bedeutet schnellere KEV-Ergänzungen und letztendlich schnellere Abwehrmaßnahmen im gesamten Ökosystem“, sagte er. „Es ist der richtige Schritt zur richtigen Zeit, da KI die Entdeckung und Ausnutzung von Schwachstellen in einem Tempo beschleunigt, das eine frühe, koordinierte Offenlegung wichtiger denn je macht.“ ### Auswirkungen und zukünftige Überlegungen Seit der Einführung des Katalogs [im Jahr 2021](https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000) haben Cybersicherheitsverteidiger außerhalb der Bundesregierung ihn als Referenzpunkt übernommen, um zu wissen, welche Fehler angegriffen werden. Experten stellten fest, dass Organisationen Schwachstellen, die dem KEV hinzugefügt werden, [3,5-mal schneller beheben als Nicht-KEV-Fehler](https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster). Er ist noch wichtiger geworden, da Verteidiger herausfinden, wie sie mit einer wachsenden Flut von KI-entdeckten Schwachstellen umgehen können – von denen viele unbedeutend sind und unwahrscheinlich ausgenutzt werden. Mayuresh Dani von **Qualys** sagte, **CISA** habe zuvor Einreichungen per E-Mail akzeptiert, wies jedoch darauf hin, dass es keine externen Berichte darüber gab, wie viele Schwachstellen aufgrund von Einreichungen an diese E-Mail-Adresse dem KEV hinzugefügt wurden. Das neue Formular zwingt die Einreicher, kritische, detaillierte Informationen hinzuzufügen. „Hoffentlich wird diese Funktionalität nun Einblick geben, was genau nach der Einreichung passiert“, sagte Dani zu Recorded Future News. „Es muss beobachtet werden, wie diese Informationen von **CISA** verifiziert werden und welche Schutzmaßnahmen gegen falsche und irreführende Meldungen von **CISA** getroffen werden, damit nur echte und validierte Ausnutzungsvorkommnisse in die KEV-Liste aufgenommen werden.“ Dani fügte hinzu, dass **CISA** möglicherweise versucht, aufzuholen, da kommerzielle Alternativen zum KEV verfügbar sind und einige ihn inzwischen als nachlaufenden Indikator für die Ausnutzung von Schwachstellen betrachten. Während fast alle Fehler, die ursprünglich dem KEV hinzugefügt wurden, eine Behebungsfrist von drei Wochen erhielten, hat sich die Anzahl der Schwachstellen, für die Fristen von [sogar 24 Stunden](https://therecord.media/cisa-orders-agencies-patch-citrix-bleed-2) festgelegt wurden, im letzten Jahr erhöht. Anfang dieses Monats berichtete Reuters, dass **CISA**s amtierender Direktor Nick Anderson und der U.S. National Cyber Director Sean Cairncross die Möglichkeit erwogen, die KEV-Frist für alle neuen Fehler auf nur drei Tage zu begrenzen, aus Sorge, dass Hacker nun leistungsstarke, aufkommende KI-Systeme nutzen, um Exploits für Schwachstellen in kürzerer Zeit zu entwickeln. Experten sagten, die neue Initiative zur Koordinierung mit dem Privatsektor sei darauf ausgelegt, Abwehrmaßnahmen, die Offenlegung von Schwachstellen und die Verfolgung von Ausnutzungen zu beschleunigen. „Verbesserungen wie diese können helfen, die Signalqualität und Aktualität von KEV zu stärken, was letztendlich Verteidigern zugutekommt, die versuchen, reale Risiken gegenüber theoretischer Schwere zu priorisieren“, sagte Chris Doyle von **JupiterOne**.