CERT@VDE steigt zur Root-CNA im globalen Cybersecurity-System auf
Als erste deutsche Organisation erhält das Computer Emergency Response Team des VDE erweiterte Befugnisse bei der Verwaltung von Sicherheitslücken in Industriesystemen.
Das Computer Emergency Response Team des Verbands der Elektrotechnik Elektronik Informationstechnik (CERT@VDE) ist seit Mitte Juli 2025 als erste deutsche Organisation zur Root-CNA (Root-CVE Numbering Authority) im globalen System zur Erfassung von Sicherheitslücken ernannt worden. Dies ermöglicht dem CERT@VDE, die Vergabe von eindeutigen Kennungen für Schwachstellen in Industriesystemen zu koordinieren und zu überwachen.
Seit 1999 werden Sicherheitslücken in IT-Systemen weltweit im CVE-System (Common Vulnerabilities and Exposures, CVE) erfasst und mit eindeutigen Kennungen versehen. Diese standardisierte Erfassung hilft Unternehmen und Experten, Schwachstellen schnell zu identifizieren und zu beheben. Das CERT@VDE war bereits seit 2020 als CNA für seine Kooperationspartner tätig.
Neue Aufgaben in der globalen Hierarchie
Als Root-CNA übernimmt das CERT@VDE nun zusätzliche Verantwortung im internationalen System. „Wir werden bei Unklarheiten oder Streitigkeiten zwischen CNAs vermittelnd eingreifen und Qualität sowie Vollständigkeit der CVE-Einträge unserer Partner kontrollieren“, erklärt Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE.
Zu den Aufgaben gehören die Identifizierung, Auswahl und Betreuung untergeordneter CNAs aus dem Kreis der CERT@VDE-Partner sowie deren Schulung und Onboarding. Außerdem überwacht die Organisation die Einhaltung der CVE-Richtlinien und entwickelt Standards für die Vergabe und Verwaltung der CVE-IDs weiter.
Bedeutung für die Industriesicherheit
Sicherheitslücken in Industrieprodukten betreffen kritische Bereiche wie die Strom- und Wasserversorgung, Krankenhäuser oder Fertigungsstätten. Das National Institute of Standards and Technology (NIST) in den USA hatte dem CERT@VDE in mehreren Audits den höchsten Qualitätsstandard für die eigenen CVEs in der National Vulnerability Database (NVD) bescheinigt.
„Als erste Root-CNA in Deutschland sind wir nicht nur die direkte Kontaktstelle für unsere Kooperationspartner in derselben Zeitzone – wir sind auch selbst Teil des internationalen, föderalen CVE-Systems und veröffentlichen Schwachstellen nach einem koordinierten Veröffentlichungsprozess“, erläutert Andreas Harner, Abteilungsleiter CERT@VDE.
Internationale Einordnung
Im weltweiten System der Root-CNAs reiht sich das CERT@VDE nun neben etablierte Organisationen wie MITRE, die Cybersecurity and Infrastructure Security Agency (CISA), Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie den Thales-Konzern aus Frankreich ein.
Die Ernennung zur Root-CNA erfolgte nach monatelanger Vorbereitung und mehreren Audit-Sitzungen mit CISA und MITRE. Das CERT@VDE fungiert damit als Knotenpunkt im weltweiten Netz der Schwachstellenkoordination für kleine und mittlere Unternehmen sowie den industriellen Mittelstand.
Hintergrund: Das CVE-System erklärt
CVE steht für „Common Vulnerabilities and Exposures“ und bezeichnet eine Liste weltweit gemeldeter Sicherheitslücken. Autorisierte Stellen, sogenannte CNAs (CVE Numbering Authorities), vergeben CVE-Nummern für Schwachstellen in definierten Bereichen oder Produkten.
Eine Root-CNA ist eine übergeordnete Organisation, die neben der Zuweisung von CVE-IDs auch andere CNAs beaufsichtigt und schult. Sie sorgt für Struktur und Qualität im CVE-System und trägt zur einheitlichen Erfassung von Sicherheitslücken bei.
(Quelle: VDE / Dieser Beitrag wurde mithilfe von KI-Tools erstellt und redaktionell geprüft.)
