EPSS und CVSS: Schwachstellen richtig priorisieren

Written by ExposIQ | März 15, 2026

Ein Schwachstellenscan eines typischen KMU-Netzwerks liefert Dutzende, oft Hunderte von Ergebnissen. Jedes Finding hat einen CVSS-Score, und die instinktive Reaktion ist klar: zuerst die 9.8er und 10.0er beheben. Aber ist das wirklich die richtige Strategie? Nicht unbedingt. CVSS allein erzählt nur einen Teil der Geschichte – und manchmal den weniger wichtigen Teil.

CVSS: Was es misst und was nicht

Das Common Vulnerability Scoring System (CVSS) ist der De-facto-Standard für die Bewertung von Schwachstellen. Die aktuelle Version CVSS 4.0 bewertet eine Schwachstelle anhand mehrerer Metriken:

  • Attack Vector: Wie nah muss der Angreifer sein? (Netzwerk, benachbart, lokal, physisch)
  • Attack Complexity: Wie aufwändig ist die Ausnutzung?
  • Privileges Required: Braucht der Angreifer bereits Zugangsdaten?
  • User Interaction: Muss ein Benutzer aktiv etwas tun?
  • Impact: Welchen Schaden richtet die Ausnutzung an? (Vertraulichkeit, Integrität, Verfügbarkeit)

CVSS beantwortet also die Frage: «Wie schlimm könnte es sein, wenn diese Schwachstelle ausgenutzt wird?» Das ist zweifellos wichtig. Aber es fehlt eine entscheidende Dimension: Wie wahrscheinlich ist es, dass sie tatsächlich ausgenutzt wird?

Das Problem mit CVSS als alleinigem Priorisierungskriterium

Betrachten wir ein konkretes Beispiel. In der National Vulnerability Database (NVD) finden sich aktuell über 64’000 CVEs mit einem CVSS-Score von 7.0 oder höher – also als «hoch» oder «kritisch» eingestuft. Wenn jede Schwachstelle mit CVSS 9.0+ sofort behoben werden muss, stehen KMU vor einer unlösbaren Aufgabe.

Dazu kommt ein statistisches Problem: Nur ein kleiner Bruchteil aller bekannten Schwachstellen wird jemals aktiv ausgenutzt. Verschiedene Studien kommen auf Werte zwischen 2 und 5 Prozent. Das bedeutet: 95 bis 98 Prozent aller CVEs bleiben theoretische Risiken, die nie in der freien Wildbahn angegriffen werden.

Gleichzeitig gibt es Schwachstellen mit einem «moderaten» CVSS-Score von 6.0 oder 7.0, die von Angreifergruppen massiv ausgenutzt werden – weil sie leicht automatisierbar sind, weit verbreitete Software betreffen oder weil zuverlässige Exploits öffentlich verfügbar sind.

Wer ausschliesslich nach CVSS priorisiert, investiert Zeit und Ressourcen in Schwachstellen, die niemand angreift, während tatsächlich ausgenutzte Schwachstellen mit niedrigerem Score unbehandelt bleiben.

EPSS: Die Wahrscheinlichkeit einer Ausnutzung

Das Exploit Prediction Scoring System (EPSS) ist ein vergleichsweise neues Modell, entwickelt von FIRST (Forum of Incident Response and Security Teams), das genau die Lücke füllt, die CVSS hinterlässt. EPSS beantwortet die Frage: «Wie wahrscheinlich ist es, dass diese Schwachstelle in den nächsten 30 Tagen aktiv ausgenutzt wird?»

EPSS nutzt dafür Machine-Learning-Modelle, die eine Vielzahl von Faktoren analysieren:

  • Verfügbarkeit von Exploit-Code (z.B. auf GitHub, Exploit-DB, Metasploit)
  • Aktivität in Underground-Foren und Dark-Web-Marktplätzen
  • Charakteristiken der Schwachstelle (Angriffsvektor, Komplexität)
  • Verbreitung der betroffenen Software
  • Historische Exploit-Muster ähnlicher Schwachstellen
  • Aktuelle Bedrohungsintelligenz

Das Ergebnis ist eine Prozentzahl zwischen 0 und 1 (bzw. 0% und 100%). Ein EPSS-Wert von 0.95 bedeutet: Mit 95-prozentiger Wahrscheinlichkeit wird diese Schwachstelle in den nächsten 30 Tagen von Angreifern ausgenutzt. Ein Wert von 0.001 bedeutet: Die Wahrscheinlichkeit liegt bei 0.1 Prozent.

EPSS in der Praxis

Die Verteilung der EPSS-Werte ist aufschlussreich: Die grosse Mehrheit aller CVEs hat einen EPSS-Wert unter 0.1 (10%). Nur ein kleiner Anteil erreicht Werte über 0.5 (50%). Diese Verteilung bestätigt, was Sicherheitsforscher seit Jahren wissen: Die meisten Schwachstellen werden nie ausgenutzt.

Interessant wird es, wenn man CVSS und EPSS zusammen betrachtet:

  • Hohes CVSS, niedriges EPSS: Theoretisch gefährlich, aber praktisch unwahrscheinlich. Beispiel: Eine komplexe Schwachstelle in einer selten genutzten Funktion einer Nischen-Software. CVSS bewertet den theoretischen Impact hoch, aber Angreifer haben keinen Anreiz, einen Exploit zu entwickeln.
  • Niedriges CVSS, hohes EPSS: Theoretisch weniger kritisch, aber in der Praxis hochrelevant. Beispiel: Eine Cross-Site-Scripting-Schwachstelle (CVSS ~6.0) in einem weit verbreiteten WordPress-Plugin, für das ein automatisierter Exploit existiert.
  • Hohes CVSS, hohes EPSS: Die dringendsten Fälle. Theoretisch kritisch UND aktiv ausgenutzt. Diese Schwachstellen erfordern sofortige Massnahmen.
  • Niedriges CVSS, niedriges EPSS: Niedrigste Priorität. Theoretisch weniger kritisch und praktisch nicht ausgenutzt.

CISA KEV: Bestätigte, aktiv ausgenutzte Schwachstellen

Während EPSS eine Prognose liefert, bietet der Known Exploited Vulnerabilities (KEV) Katalog der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) Fakten: Er listet Schwachstellen auf, die nachweislich von Angreifern aktiv ausgenutzt werden.

Der KEV-Katalog umfasst aktuell über 1’100 Schwachstellen und wird regelmässig aktualisiert. Für jede gelistete Schwachstelle vergibt CISA eine verbindliche Behebungsfrist – für US-Behörden verpflichtend, aber auch für den privaten Sektor eine klare Orientierungshilfe.

Die Aufnahmekriterien sind streng:

  1. Die Schwachstelle muss eine CVE-Kennung haben
  2. Es müssen glaubwürdige Belege für aktive Ausnutzung vorliegen
  3. Es muss eine klare Behebungsmassnahme (Patch oder Workaround) existieren

Wenn eine Schwachstelle im KEV-Katalog steht, ist die Frage nicht mehr «ob», sondern «wie schnell» sie behoben werden muss. Die Dringlichkeit ist maximal.

Die Kombination macht den Unterschied

Einzeln betrachtet hat jedes System seine Stärken und Schwächen:

  • CVSS bewertet den theoretischen Impact, aber nicht die Ausnutzungswahrscheinlichkeit
  • EPSS prognostiziert die Ausnutzungswahrscheinlichkeit, aber nicht den Impact
  • KEV bestätigt aktive Ausnutzung, erfasst aber nur einen Bruchteil aller Schwachstellen

Erst die Kombination aller drei Quellen ergibt eine intelligente Priorisierung, die sowohl den Impact als auch die reale Bedrohung berücksichtigt.

Ein praktisches Priorisierungsmodell

Basierend auf der Kombination von CVSS, EPSS und KEV lässt sich ein vierstufiges Priorisierungsmodell ableiten:

Priorität 1 – Sofort (innerhalb 24-48 Stunden):

  • Im CISA KEV-Katalog gelistet (unabhängig von CVSS oder EPSS)
  • CVSS 9.0+ UND EPSS > 0.5

Priorität 2 – Dringend (innerhalb 7 Tagen):

  • CVSS 7.0+ UND EPSS > 0.3
  • CVSS 9.0+ UND EPSS > 0.1

Priorität 3 – Geplant (innerhalb 30 Tagen):

  • CVSS 7.0+ UND EPSS < 0.3
  • CVSS 4.0-6.9 UND EPSS > 0.1

Priorität 4 – Nächster Zyklus (innerhalb 90 Tagen):

  • CVSS < 7.0 UND EPSS < 0.1
  • Informationelle Findings

Dieses Modell reduziert die Arbeitslast erheblich: Statt 200 «kritische» Schwachstellen gleichzeitig behandeln zu müssen, konzentriert sich das IT-Team auf die 15 bis 20 Schwachstellen, die tatsächlich das grösste Risiko darstellen.

Praktische Beispiele

Beispiel 1: Hohe Priorität trotz moderatem CVSS

CVE-2023-22515 (Atlassian Confluence) – CVSS 9.8, EPSS 0.97, im KEV-Katalog. Hier stimmen alle Indikatoren überein: Schwere Schwachstelle, fast sicher ausgenutzt, bestätigt aktiv angegriffen. Priorität 1, sofortige Massnahmen erforderlich.

Beispiel 2: Hoher CVSS, aber geringe reale Bedrohung

Manche Schwachstellen erhalten einen CVSS-Score von 9.0 oder höher, haben aber einen EPSS-Wert unter 0.01. Typisch für: Schwachstellen in wenig verbreiteter Software, Schwachstellen, die sehr spezifische Voraussetzungen erfordern, oder Schwachstellen, für die kein Exploit-Code existiert. Diese können nach Priorität 3 behandelt werden – wichtig, aber nicht dringend.

Beispiel 3: Moderater CVSS, aber aktiv ausgenutzt

Schwachstellen in weit verbreiteten CMS-Plugins (WordPress, Joomla) haben oft CVSS-Werte zwischen 6.0 und 7.5, werden aber massiv automatisiert angegriffen, weil Exploit-Kits dafür verfügbar sind. EPSS-Werte über 0.5 bei «nur» mittelschwerem CVSS signalisieren: Dieses Finding verdient mehr Aufmerksamkeit, als der CVSS-Score vermuten lässt.

MITRE ATT&CK: Den Kontext verstehen

Eine weitere Dimension der Priorisierung bietet das MITRE ATT&CK-Framework. Es ordnet Schwachstellen und Angriffstechniken in eine Matrix ein, die den gesamten Angriffsablauf abbildet – von der initialen Kompromittierung bis zum Datendiebstahl.

ATT&CK hilft bei der Beantwortung von Fragen wie:

  • Wird diese Schwachstelle für den Erstzugang verwendet, oder braucht der Angreifer bereits eine Präsenz im Netzwerk?
  • Welche Angreifergruppen sind dafür bekannt, diese Technik einzusetzen?
  • Welche weiteren Schritte folgen typischerweise nach der Ausnutzung?

Wenn eine Schwachstelle als Technik für «Initial Access» klassifiziert ist und von bekannten Ransomware-Gruppen genutzt wird, steigt die Priorität unabhängig vom CVSS-Score.

Implementierung im KMU-Alltag

Die Theorie klingt überzeugend – aber wie setzt ein KMU mit begrenzten Ressourcen diese kombinierte Priorisierung praktisch um?

Manuell ist es kaum machbar. CVSS-Scores stehen im Scan-Bericht, aber EPSS-Werte müssen separat über die FIRST-API abgefragt werden, und der KEV-Katalog ist eine eigene Datenquelle. Für 200 Findings diese drei Quellen manuell abzugleichen, ist nicht realistisch.

Die Lösung liegt in der Plattform. Moderne Schwachstellenmanagement-Plattformen integrieren CVSS, EPSS und KEV automatisch und zeigen für jedes Finding eine kombinierte Risikobewertung. Statt drei verschiedene Quellen zu konsultieren, sieht das IT-Team auf einen Blick, welche Schwachstellen tatsächlich Priorität haben.

Fazit

CVSS allein ist kein ausreichendes Priorisierungskriterium. Es bewertet den theoretischen Worst Case, sagt aber nichts über die reale Bedrohungslage. EPSS ergänzt die Ausnutzungswahrscheinlichkeit, CISA KEV liefert bestätigte Angriffsdaten. Erst die Kombination aller drei Quellen ermöglicht eine Priorisierung, die begrenzte Ressourcen dort einsetzt, wo sie die grösste Risikoreduktion bewirken.

ExposIQ integriert CVSS, EPSS und den CISA KEV-Katalog direkt in die Scan-Ergebnisse. Jedes Finding wird automatisch anhand aller drei Quellen bewertet, ergänzt durch MITRE ATT&CK-Mapping. So sehen Sie auf einen Blick, welche Schwachstellen theoretisch kritisch sind – und welche tatsächlich angegriffen werden. Dazu kommen 35+ Scan-Engines, 64’000+ CVEs, 11’700+ Nuclei-Templates und 112 Exploit-Validierungsmodule. Gehostet in der Schweiz, nDSG-konform, ab CHF 99 pro Monat. Mehr unter exposiq.ch.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.