Schlösser vor Bits zur Illustration von IT-Sicherheit
Maksim Kabakou / Fotolia
25.07.2025 Pressemitteilung

CERT@VDE wird Deutschlands erste Root-CNA – mehr Verantwortung im globalen System für Cybersecurity in der Industrie

Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit seit Jahren stark zu. Die Angreifer nutzen dabei Schwachstellen in Produktionssystemen, Steuerungen oder anderen vernetzten Systemen aus. Um solche Sicherheitslücken zügig zu schließen und betroffene Anwender zuverlässig über Sicherheitshinweise (Advisories) zu informieren, steht das CERT@VDE seit acht Jahren als Kompetenzplattform seinen Partnern zur Seite. Jetzt ist CERT@VDE zur zentralen Anlaufstelle im globalen CVE-Programm für seine Partner aufgestiegen: ein starkes Signal für mehr Cybersecurity in der Industrie.

(Frankfurt a. M., 25.07.2025) Sicherheitslücken in Industrieprodukten finden sich in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten. Wenn Angreifer diese Lücken ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um dies effektiv zu verhindern, müssen die Schwachstellen weltweit systematisch erfasst und benannt werden. Hierzu wurde vor mehr als 25 Jahren in den USA das sogenannte CVE-System etabliert – CVE steht für „Common Vulnerabilities and Exposures“. Dort ist jede bekannte Schwachstelle mit einer eindeutigen Kennung im Herzstück des Systems, der CVE-Datenbank, hinterlegt. Damit lassen sich im komplexen Prozess der Schwachstellenbehandlung fatale Missverständnisse vermeiden.

Das CVE-System als weltweit führender Industriestandard ermöglicht Experten und Unternehmen seit 1999 auf Basis einer einheitlichen Syntax gezielt und schnell zu reagieren, Probleme unverzüglich zu erkennen und herstellerübergreifend zu beheben.

Stabilität im System

Eine einheitliche Syntax allein reicht allerdings nicht aus, um Ordnung und Effizienz bei der Vergabe von CVE-IDs zu gewährleisten. Damit diese nicht unkontrolliert verteilt werden, sind nur bestimmte Organisationen und Unternehmen – sogenannte „CVE Numbering Authorities (CNAs)“ – dazu berechtigt, CVE-IDs zu vergeben. Diese CNAs teilen die Zuständigkeiten für verschiedene Produkte und Anwendungsbereiche untereinander klar auf. CERT@VDE agiert bereits seit 2020 als CNA für seine Kooperationspartner und erarbeitete sich in zahlreichen Audits der NIST (National Institute of Standards and Technology, USA) den höchsten Qualitätsstandard für die eigenen CVEs in der NVD (National Vulnerability Database). NVD ist eine staatliche US-Datenbank, die vom NIST betrieben wird. Sie ergänzt das CVE-System um technische Details und Bewertungen.

Hierarchisch über den CNAs angeordnet sind sogenannte Root-CNAs. Dazu gehören MITRE, CISA, Google, Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der Thales Konzern aus Frankreich – und seit Mitte Juli 2025 nun auch das CERT@VDE als erste Root-CNA in Deutschland. In dieser neuen Rolle wird das CERT@VDE im Wesentlichen das CVE-Vergabesystem für seine Partner strukturieren, beaufsichtigen und koordinieren. Im Einzelnen gehören dazu die Identifizierung, Auswahl, Ernennung und Betreuung untergeordneter CNAs aus dem Kreis der CERT@VDE Partner, aber auch die Schulung und das Onboarding dieser neuen CNAs. Zudem wird sichergestellt, dass die CVE-Richtlinien und Prozesse eingehalten und Abläufe, Richtlinien und Standards für die Vergabe und Verwaltung der CVE-IDs weiterentwickelt werden.

Neue Rolle, neue Verantwortung

Jochen Becker

Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE

| privat

Eine weitere wichtige Funktion der Root-CNA ist die Konfliktlösung: „Wir werden bei Unklarheiten oder Streitigkeiten zwischen CNAs (z. B. bei Zuständigkeiten für bestimmte Produkte) vermittelnd eingreifen und Qualität sowie Vollständigkeit der CVE-Einträge unserer Partner kontrollieren“, erklärt Jochen Becker, CNA-Prozessverantwortlicher im CERT@VDE.

„Als erste Root-CNA in Deutschland sind wir nicht nur die direkte Kontaktstelle für unsere Kooperationspartner in derselben Zeitzone – wir sind auch selbst Teil des internationalen, föderalen CVE-Systems und veröffentlichen Schwachstellen nach einem koordinierten Veröffentlichungsprozess“, ergänzt Andreas Harner, Abteilungsleiter CERT@VDE. „Die Vorteile für unsere Kooperationspartner sind offensichtlich: Sie zeigen durch ein ausgereiftes Schwachstellenmanagement gegenüber bestehenden und potenziellen Kunden einen erhöhten Reifegrad im Cybersecurity-Bereich. Zudem behalten sie die Kontrolle über den Veröffentlichungsprozess von CVEs für Schwachstellen in ihren Produkten.“

VDE Harner_klein

Andreas Harner, Abteilungsleiter CERT@VDE

| privat

Durch seine neue Rolle ist CERT@VDE nun ein Knotenpunkt im weltweiten Netz der Schwachstellenkoordination – sowohl für KMU als auch für den industriellen Mittelstand. Die Plattform bringt das nötige Fachwissen und das Vertrauen aus der Industrie mit. „Allerdings war der Weg zur Root-CNA kein Selbstläufer, sondern das Ergebnis einer monatelangen Vorbereitung inklusive mehrerer Audit-Sitzungen mit CISA und MITRE“, betont Jochen Becker. Andreas Harner fasst zusammen: „Dadurch, dass wir als erste Root-CNA in Deutschland anerkannt wurden, setzen wir ein deutliches Signal für die internationale Sichtbarkeit der deutschen Industrie im Bereich Cybersecurity.“

Was bedeuten CVE, CNA und Root-CNA? 

CVE steht für „Common Vulnerabilities and Exposures“. Dahinter steckt eine Liste weltweit gemeldeter Sicherheitslücken, die von dafür autorisierten Stellen mit einem offiziellen Eintrag versehen werden. Diese Stellen heißen CNAs (CVE Numbering Authorities), sie vergeben CVE-Nummern (CVE-IDs) für Schwachstellen in einem definierten Bereich, also für bestimmte Produkte oder Hersteller. Eine Root-CNA ist eine übergeordnete Organisation, die dabei unterstützt, bekannte Sicherheitslücken in Computerprogrammen oder Geräten zu erfassen und zu benennen. Sie weist ebenfalls CVE-IDs zu, beaufsichtigt und schult aber zusätzlich andere CNAs. Root-CNAs sorgen für Struktur und Qualität im CVE-System.

Über CERT@VDE

Das CERT@VDE ist die erste unabhängige Cybersecurity-Plattform in Deutschland für kleine und mittelständische Unternehmen (KMU) im Bereich der Embedded-Software Systeme. Als koordinierendes Produkt-CERT (PSIRT) sorgen wir seit fünf Jahren gemeinsam mit unseren Industriepartnern für Wissensvorsprung entlang der Wertschöpfungskette und ermöglichen dadurch schnelle und strukturierte Reaktion auf aktuelle Bedrohungen im Cyber-Raum! 

Durch die fortschreitende Vernetzung steigt das Risiko der Ausnutzung von Sicherheitslücken und dadurch auch das Risiko von Angriffen, egal ob man die Automatisierungstechnik (OT-Security), ein Smart Home ober Industrie 4.0 betrachtet. Das CERT@VDE Team hilft den Unternehmen auf diese Bedrohungen angemessen zu reagieren und Sicherheitslücken zu kommunizieren. Unsere Devise: Was das einzelne Unternehmen nicht leisten kann, bietet CERT@VDE durch Kooperation, Vernetzung und Kompetenz: Wir unterstützen betroffene Unternehmen bei den notwendigen Analysen und Entscheidungen und koordinieren die Reaktion auf Sicherheitsschwachstellen über Organisationsgrenzen hinweg. 

Werden Sie Teil dieses einzigartigen Teams und ermöglichen Cybersecurity in den Lieferketten Europas durch vertrauensvolle Kollaboration auf der CERT@VDE Plattform! Mehr Informationen unter cert.vde.com

Über den VDE

Der VDE, eine der größten Technologie-Organisationen Europas, steht seit mehr als 130 Jahren für Innovation und technologischen Fortschritt. Als einzige Organisation weltweit vereint der VDE dabei Wissenschaft, Standardisierung, Prüfung, Zertifizierung und Anwendungsberatung unter einem Dach. Das VDE Zeichen gilt seit mehr als 100 Jahren als Synonym für höchste Sicherheitsstandards und Verbraucherschutz. 

Wir setzen uns ein für die Forschungs- und Nachwuchsförderung und für das lebenslange Lernen mit Weiterbildungsangeboten „on the job“. Im VDE Netzwerk engagieren sich über 2.000 Mitarbeiter*innen an über 60 Standorten weltweit, mehr als 100.000 ehrenamtliche Expert*innen und rund 1.500 Unternehmen gestalten im Netzwerk VDE eine lebenswerte Zukunft: vernetzt, digital, elektrisch.  
Wir gestalten die e-diale Zukunft. 

Sitz des VDE (VDE Verband der Elektrotechnik Elektronik und Informationstechnik e.V.) ist Frankfurt am Main. Mehr Informationen unter www.vde.com
Kontakt
Pressesprecherin
Downloads + Links
Themen
Cybersecurity
Industrie
Sicherheit
IT-Netze

Interessiert an Cyber Security und IT-Sicherheit?

Mann arbeitet am Laptop zum Thema IT-Sicherheit
putilov_denis / stock.adobe.com
13.03.2023 TOP

Der VDE engagiert sich auf vielfältige Weise für Cyber Security: Wir gestalten zum Beispiel mit CERT@VDE IT-Sicherheits-Prozesse für industrielle KMU und sorgen für Innovationstransfer aus Wissenschaft und Forschung in die Praxis und Märkte. Und wir stärken die deutsche Wirtschaft – vor allem den Mittelstand und Start-ups – auch im internationalen Wettbewerb.

Weitere Inhalte zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Cyber Security.

Zur Themenseite Cyber Security
Folgen Sie uns
© 2025 VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.