Executive Masterclass Krisensimulation SAR Bücher Insights Über Mich
Gespräch vereinbaren

EPSS vs. CVSS: Welcher Score Ihre Patch-Priorisierung wirklich verbessert

Gegenüberstellung zweier Priorisierungs-Skalen — CVSS-Schweregrad und EPSS-Ausnutzungswahrscheinlichkeit — als Sinnbild für risikobasiertes Schwachstellen-Management

Jedes Jahr werden über 40.000 neue Schwachstellen (CVEs) veröffentlicht — mehr als 100 pro Tag. Kein Team der Welt patcht sie alle sofort. Die entscheidende Frage ist deshalb nicht ob Sie priorisieren, sondern wonach. Und genau hier trifft die Mehrheit der Organisationen eine teure Fehlentscheidung: Sie priorisiert nach dem CVSS-Wert allein.

CVSS und EPSS klingen ähnlich, messen aber grundverschiedene Dinge. Wer sie verwechselt, patcht die falschen Lücken zuerst. Der eine Score sagt, wie schlimm eine Lücke theoretisch ist — der andere, wie wahrscheinlich sie tatsächlich ausgenutzt wird.

Was CVSS misst — und was nicht

Das Common Vulnerability Scoring System (CVSS) bewertet die technische Schwere einer Schwachstelle auf einer Skala von 0 bis 10. Es fragt: Wie leicht ist die Lücke ausnutzbar, welche Rechte braucht ein Angreifer, welchen Schaden kann er anrichten (Vertraulichkeit, Integrität, Verfügbarkeit)?

Das ist wertvoll — aber es ist eine Aussage über Potenzial, nicht über Wahrscheinlichkeit. Ein CVSS-Wert von 9.8 bedeutet: Wenn diese Lücke ausgenutzt wird, ist der Schaden groß. Er sagt nichts darüber, ob überhaupt jemand einen Exploit dafür gebaut hat oder je bauen wird.

Das Kernmissverständnis. CVSS ist ein Schweregrad, keine Dringlichkeitsangabe. Wer seine Patch-Reihenfolge allein am CVSS-Base-Score ausrichtet, behandelt tausende theoretisch kritische Lücken gleich — und übersieht dabei die wenigen, die gerade real angegriffen werden.

Erschwerend kommt hinzu: Die meisten Organisationen nutzen nur den Base Score. CVSS kennt zusätzlich Temporal- und Environmental-Metriken, die Exploit-Reife und den konkreten Einsatzkontext berücksichtigen — doch die werden in der Praxis fast nie gepflegt. Übrig bleibt eine statische Zahl, die für jede Organisation gleich aussieht, egal ob das betroffene System im Internet steht oder in einem abgeschotteten Testnetz.

Was EPSS misst: die Wahrscheinlichkeit der Ausnutzung

Das Exploit Prediction Scoring System (EPSS), ebenfalls von FIRST, geht die Frage von der anderen Seite an. EPSS liefert für jede CVE einen Wert zwischen 0 und 1 — die geschätzte Wahrscheinlichkeit, dass die Lücke in den nächsten 30 Tagen tatsächlich ausgenutzt wird.

Dieser Wert ist datengetrieben und wird täglich neu berechnet. Das EPSS-Modell speist sich aus realen Signalen: veröffentlichte Exploit-Codes, Aktivität in Exploit-Kits, Scan- und Angriffs-Telemetrie, Merkmale der Schwachstelle selbst. Eine Lücke, für die heute ein Exploit auftaucht, steigt morgen im EPSS-Wert — ganz ohne manuelle Bewertung.

  CVSS EPSS
Beantwortet Wie schwer wäre der Schaden? Wie wahrscheinlich ist die Ausnutzung?
Skala 0–10 (Schweregrad) 0–1 (Wahrscheinlichkeit, 30 Tage)
Aktualität statisch (bei Veröffentlichung) täglich neu berechnet
Natur Experten-Bewertung des Potenzials datenbasierte Prognose

Warum CVSS allein in die Irre führt

Die unbequeme Wahrheit hinter der Score-Debatte: Die überwältigende Mehrheit aller CVEs wird nie ausgenutzt. Nur ein einstelliger Prozentsatz der jährlich veröffentlichten Schwachstellen erhält jemals einen öffentlichen Exploit — und nur ein Bruchteil davon wird in freier Wildbahn eingesetzt.

Wer nach CVSS ≥ 7 priorisiert, landet trotzdem bei mehreren tausend „kritischen" Lücken pro Jahr. Diese Liste ist so lang, dass sie faktisch keine Priorisierung mehr ist — nur noch ein Rückstau. Teams arbeiten sie nach Gefühl oder nach Verfügbarkeit ab und erwischen dabei mit hoher Wahrscheinlichkeit nicht die eine Lücke, die gerade aktiv angegriffen wird.

Umgekehrt gibt es Schwachstellen mit einem mittleren CVSS-Wert, die massenhaft ausgenutzt werden, weil sie in einem weit verbreiteten, exponierten Produkt stecken. Ein Score, der solche Fälle nicht nach oben sortiert, priorisiert am realen Risiko vorbei.

Ein Beispiel: Wenn der niedrigere Score gewinnt

Stellen Sie sich zwei Meldungen am selben Morgen vor. CVE-A hat einen CVSS-Wert von 9.8 — „kritisch" —, steckt aber in einer selten genutzten Bibliothek, für die kein Exploit existiert; ihr EPSS-Wert liegt nahe null. CVE-B hat „nur" 6.5, betrifft aber ein weit verbreitetes, aus dem Internet erreichbares Web-Gateway, für das gestern ein Exploit veröffentlicht wurde; ihr EPSS-Wert ist hoch und steigt weiter.

Wer nach CVSS priorisiert, arbeitet CVE-A zuerst ab und lässt CVE-B liegen. Wer die Ausnutzungswahrscheinlichkeit einbezieht, dreht die Reihenfolge um — und liegt damit richtig. Genau diese Umkehrung ist der praktische Wert von EPSS: Es hebt die wenigen mittelschweren Lücken nach oben, die real gefährlich sind, und entlastet die vielen schweren, die es nicht sind.

Der Punkt ist nicht, dass CVSS falsch liegt — CVE-A wäre schlimm, wenn sie ausgenutzt würde. Der Punkt ist, dass Schweregrad ohne Wahrscheinlichkeit nur die halbe Entscheidungsgrundlage ist. Erst die Kombination macht aus einer Bewertung eine echte Priorisierung. Und weil sich Exploit-Lagen täglich ändern, ist auch die Reihenfolge nichts Statisches: Eine Lücke, die heute unten liegt, kann morgen ganz oben stehen, wenn ein Exploit auftaucht.

Die dritte Größe: CISA KEV als bewiesene Ausnutzung

EPSS ist eine Prognose. Es gibt aber auch harte Gewissheit — und die liefert der CISA-KEV-Katalog (Known Exploited Vulnerabilities). Dort landet eine CVE nur, wenn eine tatsächliche, belegte Ausnutzung beobachtet wurde. KEV ist kein Score, sondern eine Ja/Nein-Aussage: Diese Lücke wird nachweislich angegriffen.

Für die Priorisierung ist das das stärkste Signal überhaupt. Eine Lücke im KEV-Katalog gehört sofort behandelt — unabhängig von ihrem CVSS-Wert. Genau dieses Muster haben wir am Beispiel der aktiv ausgenutzten VPN-Lücken des Sommers 2026 durchgespielt: Wenn das VPN zur offenen Tür wird.

Merksatz. CVSS sagt, wie hart es träfe. EPSS sagt, wie wahrscheinlich es trifft. KEV sagt, dass es bereits trifft. Erst zusammen ergeben die drei ein belastbares Bild.

So kombinieren Sie die drei Signale

Kein einzelner Score gewinnt — die Kunst liegt in der Reihenfolge. Eine praxistaugliche Priorisierungslogik für exponierte Systeme sieht so aus:

1

KEV zuerst. Steht die Lücke im CISA-KEV-Katalog und betrifft ein erreichbares System? Sofort patchen — höchste Stufe, ohne Diskussion.

2

Dann hoher EPSS + Exposition. Hohe Ausnutzungswahrscheinlichkeit (z. B. EPSS über einem definierten Schwellenwert) auf einem aus dem Internet erreichbaren Asset? In das Notfall- oder Kurzfrist-Fenster.

3

Dann CVSS für den Rest. Für alles Übrige bleibt der Schweregrad ein sinnvoller Sortierschlüssel — jetzt aber auf einer viel kürzeren, realistischen Liste.

4

Kontext schlägt Score. Ein intern isoliertes System darf trotz hoher Werte warten; ein exponiertes, geschäftskritisches System wird hochgestuft. Diese Einordnung ist eine Führungs-, keine reine Technikfrage.

Wer diese Logik formalisieren möchte, findet in der SSVC-Methodik der CISA (Stakeholder-Specific Vulnerability Categorization) einen ausgearbeiteten Entscheidungsbaum, der Ausnutzungsstatus, Exposition und geschäftliche Wirkung zu einer klaren Handlungsempfehlung verbindet — von „track" bis „act now".

Was das für die Praxis bedeutet

Die Theorie ist einfach, die Umsetzung scheitert an der Datenlage. CVSS steht im Advisory, EPSS liegt bei FIRST, KEV bei der CISA, und ob Sie das betroffene Produkt in welcher Version einsetzen, weiß nur Ihr Asset-Register. Diese vier Quellen bei jeder der hundert täglichen Meldungen manuell zusammenzuführen, ist nicht leistbar.

Deshalb gehört die Anreicherung automatisiert: Jede eingehende Schwachstellenmeldung wird mit CVSS, EPSS und KEV-Status verknüpft und gegen die eigene Systemlandschaft abgeglichen — sodass am Ende nicht eine Liste von 3.000 „kritischen" CVEs steht, sondern die Handvoll, die Sie heute wirklich betrifft. Genau das leistet ein Security Advisory Register: Es zieht die Signale zusammen und macht aus der Score-Debatte eine priorisierte Arbeitsliste. Wie sich der zugehörige Prozess sauber aufsetzen lässt, beschreibt der Leitfaden Umgang mit Security Advisories.

„Priorisierung ist keine Frage des höchsten Scores, sondern der richtigen Kombination — bewiesen, wahrscheinlich, schwer, in dieser Reihenfolge."

Drei Denkfehler, die teuer werden

„Kritisch heißt zuerst." Der CVSS-Base-Score allein erzeugt eine Liste, die zu lang ist, um Priorisierung zu sein. Ohne Wahrscheinlichkeit und Exposition landet die wirklich dringende Lücke irgendwo in der Mitte.

„Wir haben doch einen Scanner." Ein Scanner findet Schwachstellen, aber er priorisiert sie selten nach realer Ausnutzung. Ein Bericht mit 4.000 Findings ohne EPSS- und KEV-Kontext verlagert das Problem nur, statt es zu lösen.

„Einmal priorisiert, immer priorisiert." EPSS und der KEV-Status ändern sich täglich. Eine Rangliste, die einmal im Quartal erstellt wird, ist am Tag nach einem neuen Exploit bereits veraltet.

Häufige Fragen

Ersetzt EPSS den CVSS-Wert?
Nein. Die beiden ergänzen sich. EPSS sagt, ob eine Lücke wahrscheinlich ausgenutzt wird, CVSS sagt, wie schlimm das wäre. Für die Priorisierung braucht man beide — plus den KEV-Status als Gewissheit über tatsächliche Ausnutzung.

Ab welchem EPSS-Wert soll ich reagieren?
Einen universell gültigen Schwellenwert gibt es nicht — er hängt von Ihrer Kapazität und Risikotoleranz ab. Viele Organisationen setzen ihn zwischen 0,1 und 0,5 an und kombinieren ihn mit der Exposition des Systems. Entscheidend ist, den Schwellenwert bewusst festzulegen und regelmäßig zu überprüfen.

Reicht es nicht, einfach dem CISA-KEV-Katalog zu folgen?
KEV ist das stärkste Einzelsignal, aber es ist naturgemäß rückblickend: Eine Lücke steht erst drin, nachdem Ausnutzung beobachtet wurde. EPSS hilft, wahrscheinliche Kandidaten schon vorher zu erkennen — und CVSS ordnet den langen Rest.

Woher bekomme ich EPSS-Werte?
EPSS wird von FIRST kostenlos veröffentlicht und täglich aktualisiert. Viele Schwachstellen-Tools und Advisory-Feeds reichern CVEs automatisch damit an, sodass CVSS, EPSS und KEV gemeinsam an einem Ort stehen.

Fazit: Drei Signale, eine Reihenfolge

Die Frage „EPSS oder CVSS?" ist falsch gestellt. Es geht nicht um ein Entweder-oder, sondern um die richtige Kombination — und die richtige Reihenfolge: bewiesene Ausnutzung (KEV) vor hoher Wahrscheinlichkeit (EPSS) vor theoretischer Schwere (CVSS), immer gefiltert durch die Frage, ob das System überhaupt exponiert ist.

Der eigentliche Gewinn entsteht nicht durch einen besseren Score, sondern dadurch, die Signale automatisch zusammenzuführen — damit aus tausenden „kritischen" Lücken die wenigen werden, die heute zählen.

Wer alles gleich dringend behandelt, behandelt nichts dringend genug.