Centraleyezer logo
Centraleyezer
Glossar

RBVM-Glossar

Klare Definitionen der Schwachstellenmanagement-, Threat-Modelling- und EU-Cybersicherheitsregulierungs-Begriffe, die auf dieser Website und in der Centraleyezer-Plattform verwendet werden.

  • Risikobasiertes Schwachstellenmanagement (RBVM)

    Ein Schwachstellenmanagement-Ansatz, der die Behebung nach dem tatsächlichen Geschäftsrisiko jedes Funds priorisiert, statt nach reiner Schweregrad. RBVM verbindet die technischen Eigenschaften der Schwachstelle mit dem betroffenen Asset, dem umgebenden Netzwerk, der Bedrohungslandschaft und dem Team, das die Behebung durchführt.

    Siehe auch: Warum RBVM · Plattform

  • Kontextueller Risiko-Score

    Centraleyezers Pro-Fund-Score, der sechs Faktoren kombiniert: DREAD, Asset-Kritikalität, Netzwerkexposition, Ausnutzbarkeit in der Asset-Umgebung, CTI-Signale und Mensch-KI-Reaktionsschleife. Anders als CVSS beschreibt er das Risiko in Ihrer Umgebung, nicht im Abstrakten.

    Siehe auch: Warum RBVM

  • DREAD

    Strukturierter Threat-Modelling-Score über fünf Dimensionen — Damage, Reproducibility, Exploitability, Affected users, Discoverability. Centraleyezer verwendet DREAD als inhärenten Schweregradfaktor in seinem kontextuellen Risiko-Score.

  • Asset-Kritikalität

    Die Geschäftsbedeutung eines Assets (niedrig, moderat, wichtig, kritisch) — pro Asset von den verantwortlichen Personen festgelegt. Dieselbe Schwachstelle auf einem Payment-Gateway wird höher bewertet als auf einer Entwickler-Sandbox.

  • Netzwerkexposition

    Wo ein Asset im Netzwerk sitzt — internet-fähig, DMZ, intern oder vollständig isoliert. Exposition erhöht das Risiko jedes Funds, den das Asset trägt, da sie bestimmt, ob Angreifer es erreichen können.

  • Ausnutzbarkeit (in Ihrer Umgebung)

    Wie praktikabel die Bewaffnung eines Funds wäre angesichts der tatsächlichen Konfiguration des Assets, seiner Version und kompensierender Kontrollen — getrennt von generischen, internetweiten Ausnutzungswahrscheinlichkeitsmetriken wie EPSS.

  • CTI — Cyber Threat Intelligence

    Externe Intelligenz über den Fund und den Technologiestack: relevante aktive Kampagnen, Bedrohungsakteure und Ausnutzungsdiskussionen aus Feeds, die auf das abgestimmt sind, was für Ihre Organisation zählt. CTI-Signale erhöhen oder senken das kontextuelle Risiko basierend darauf, was Angreifer tatsächlich gerade tun.

  • Mensch-KI-Reaktionsschleife

    Ein einzigartiger Faktor in Centraleyezers kontextuellem Scoring: Die Plattform lernt davon, wie jeder Asset-Owner tatsächlich auf Funde reagiert (Bestätigungszeit, Behebungszeit, Risikoakzeptanz-Muster). Langsam reagierende Owner erhöhen das operative Risiko ihrer Assets; schnell reagierende senken es.

  • Asset-Inventar

    Das maßgebliche Register jedes Assets, das Centraleyezer überwacht — IPs, Websites, Anwendungen, individuelle Assets — mit Kritikalitätsbewertungen, Eigentümern und gruppenbasierter Zugriffskontrolle. Der Ausgangspunkt jedes audit-fähigen Schwachstellenprogramms.

  • CVSS — Common Vulnerability Scoring System

    Industrie-Standard 0–10-Score für die technische Schweregrad einer CVE im Abstrakten. Centraleyezer erfasst CVSS-Daten zur Nachvollziehbarkeit und Berichterstattung, verwendet sie aber nicht als Scoring-Eingabe — CVSS beschreibt die Schwachstelle, nicht das Risiko in Ihrer Umgebung.

  • EPSS — Exploit Prediction Scoring System

    Ein FIRST.org-Wahrscheinlichkeitswert (0,0–1,0), der die Wahrscheinlichkeit schätzt, dass eine CVE innerhalb von 30 Tagen in der Praxis ausgenutzt wird. Nützlich für branchenweites Triage; Centraleyezer verwendet ihn nicht als Scoring-Eingabe, weil er internetweit ist, nicht umgebungsspezifisch.

  • CISA KEV — Bekannt ausgenutzte Schwachstellen

    Ein Katalog der US-Behörde CISA, der CVEs auflistet, die in der Praxis als ausgenutzt bestätigt sind. Centraleyezer erfasst den KEV-Status als Metadatum, verwendet ihn aber nicht als Scoring-Eingabe — KEV beschreibt nicht, ob das fragliche Asset in Ihrer Umgebung exponiert oder ausnutzbar ist.

  • NIS2-Richtlinie

    EU-Richtlinie 2022/2555 zur Sicherheit von Netz- und Informationssystemen. Artikel 21(2)(m) verlangt explizit die strukturierte Schwachstellenbehandlung und -offenlegung als eine von zehn MindestsicherheitsmaĂźnahmen fĂĽr wesentliche und wichtige Einrichtungen.

    Siehe auch: NIS2-Seite

  • DORA — Digital Operational Resilience Act

    EU-Verordnung 2022/2554, anwendbar ab Januar 2025, die das ICT-Risikomanagement für Finanzentitäten regelt. Artikel 9(4)(b) schreibt dokumentierte Schwachstellen- und Patch-Management-Richtlinien mit risikobasierter Priorisierung vor.

    Siehe auch: DORA-Seite

  • ISO 27001 — Anhang A.8.8

    Die ISO 27001:2022-MaĂźnahme zum Management technischer Schwachstellen. Eine der am konsequentesten geprĂĽften Anhang-A-Kontrollen; Zertifizierungsaudits prĂĽfen End-to-End-Schwachstellenaufzeichnungen, um die operative Wirksamkeit zu verifizieren.

    Siehe auch: ISO 27001-Seite

  • PCI-DSS — Anforderung 6

    Die PCI-DSS-v4.0-Anforderung zu maĂźgeschneiderter und individueller Software-Sicherheit, Schwachstellenmanagement und Patching-SLAs (kritisch: 1 Monat; hoch: 3 Monate) fĂĽr die Karteninhaberdaten-Umgebung.

    Siehe auch: PCI-DSS-Seite

  • CRA — EU Cyber Resilience Act

    EU-Verordnung, die Cybersicherheitsanforderungen an Produkte mit digitalen Elementen ĂĽber ihren Lebenszyklus stellt, einschlieĂźlich Schwachstellenverfolgung, Offenlegung, ENISA-Meldung innerhalb von 24/72 Stunden und SBOM-Pflichten.

    Siehe auch: CRA-Seite

  • UAE IAS — Information Assurance Standards

    Das grundlegende UAE-Cybersicherheits-Rahmenwerk, herausgegeben von der Signals Intelligence Agency (ehemals NESA), anwendbar auf föderale Stellen und Betreiber kritischer Informationsinfrastrukturen. Beinhaltet verbindliche Schwachstellenbewertung (T7.5), Penetrationstests und Patch-Management (T7.4).

    Siehe auch: UAE-IAS-Seite

  • CBUAE — Zentralbank der VAE

    Der UAE-Bankenregulator. Seine bindenden Cybersicherheitsregelungen für lizenzierte Banken, Wechselstuben, Finanzgesellschaften und Zahlungsdienstleister verlangen explizit Schwachstellen- und Bedrohungsmanagement, jährliche / ereignisgesteuerte Penetrationstests und Vorstands-Cyber-Risikoberichterstattung.

    Siehe auch: CBUAE-Seite

  • MSSP — Managed Security Service Provider

    Ein Dienstleister, der Schwachstellenmanagement (und andere Sicherheitsfunktionen) im Auftrag mehrerer Kundenorganisationen managt. Centraleyezers MSSP-Edition bietet echte Multi-Tenancy mit Pro-Kunden-Isolation und einer Reseller-API fĂĽr Lizenz-/Bereitstellungsautomatisierung.

    Siehe auch: Partner · Preise — MSSP

  • SLA — Service Level Agreement

    Im Schwachstellenmanagement die dokumentierten Zeitrahmen, in denen Funde jeder Schweregrade behoben werden mĂĽssen. Centraleyezer setzt SLAs pro Schweregrad-Stufe durch, mit automatischer Eskalation, wenn SLAs nahen.

  • Risikoakzeptanz

    Ein formaler Eintrag, dass ein Fund nicht innerhalb des SLAs behoben wird, mit dokumentiertem Grund, benanntem Genehmiger, kompensierenden Kontrollen und Überprüfungsdatum. Erforderlich für ISO-27001- und NIS2-Auditfähigkeit.

  • CVE — Common Vulnerabilities and Exposures

    Eine standardisierte Kennung für eine spezifische öffentlich offengelegte Schwachstelle (z. B. CVE-2024-3094). Centraleyezer erfasst CVE-Daten neben CWE/OWASP-Korrelation für vollständige Nachvollziehbarkeit jedes Funds.

  • Selbst-gehostet vs. SaaS

    Centraleyezer bietet beides: SaaS (auf 10 GB pro Bereitstellung für Datenbank und Dateien zusammen begrenzt) und selbst-gehostetes Enterprise / MSSP (Docker-Container, läuft in Ihrer eigenen Cloud oder On-Prem; air-gap-fähig).

    Siehe auch: Preise

  • CVSS vs EPSS

    Zwei sich ergänzende Scores, die häufig verwechselt werden. CVSS bewertet die technische Schwere einer CVE im Abstrakten (0–10). EPSS schätzt die Wahrscheinlichkeit, dass eine CVE innerhalb von 30 Tagen in freier Wildbahn ausgenutzt wird (0,0–1,0). Beide beschreiben die Schwachstelle auf Internet-Skala — nicht in Ihrer Umgebung. Keiner allein reicht für die Priorisierung aus.

    Siehe auch: Warum CVSS nicht reicht

  • Schwachstellenscan vs. Schwachstellenmanagement

    Scan ist der Entdeckungsschritt — Nessus, Qualys, Tenable, Rapid7, OpenVAS, Burp usw. erzeugen eine Liste von Funden. Schwachstellenmanagement umfasst alles danach: Deduplizierung, kontextbasiertes Scoring, Eigentümerschaft, Remediation-SLAs, Risikoakzeptanz und Audit-Nachweise. Centraleyezer ist die Management-Schicht über Ihren Scannern.

    Siehe auch: Warum RBVM · Plattform

  • Tenable-Alternativen

    Teams, die nach einer Tenable-Alternative suchen, möchten in der Regel entweder eine echte RBVM-Schicht über den Scannern (Centraleyezer) oder einen anderen Scanner (Qualys, Rapid7, OpenVAS). Centraleyezer importiert Tenable.io- und Tenable.sc-Output und ergänzt kontextbasiertes Scoring, NIS2/DORA-Nachweise und MSSP-Mandantenfähigkeit, die der Tenable-Stack nicht nativ bietet.

    Siehe auch: Warum Centraleyezer · Plattform

  • Qualys-Alternativen

    Qualys VMDR ist eine starke Scanner-und-Asset-Plattform, vermischt aber Scan, Scoring und Reporting in einem einzigen SaaS. Teams, die ihren bestehenden Scanner-Mix behalten und eine kontextbasierte Scoring- und Compliance-Nachweis-Schicht ergänzen wollen, nutzen Centraleyezer, das Qualys VMDR nativ importiert.

    Siehe auch: Warum Centraleyezer

  • Rapid7-Alternativen

    Rapid7 InsightVM liefert einen eigenen Risiko-Score (Real Risk), bleibt jedoch scanner-intern — basierend auf den von Rapid7 erfassten Asset- und CVE-Attributen, nicht auf den Reaktionsmustern Ihres Teams oder der tatsächlichen Netzwerkexposition. Centraleyezer importiert InsightVM und bewertet Funde neu mit DREAD, Asset-Kritikalität, Netzwerk-Exposition, Ausnutzbarkeit, CTI und Mensch-KI-Schleife.

    Siehe auch: Warum Centraleyezer

  • Expositionsbasierte Priorisierung

    Ein Priorisierungsansatz, der jeden Fund nach der tatsächlichen Erreichbarkeit des betroffenen Assets gewichtet — internet-exponiert, DMZ, intern, isoliert. Exposition ist einer der sechs Faktoren in Centraleyezers kontextbasiertem Risiko-Score; allein ist sie notwendig, aber nicht ausreichend.

    Siehe auch: Warum RBVM

  • Patch Management vs. Schwachstellenmanagement

    Patch Management ist die operative Praxis, Hersteller-Patches in einem Bestand auszurollen (WSUS, Red Hat Satellite, Ivanti, Intune). Schwachstellenmanagement ist die übergeordnete Disziplin, die nach Risiko entscheidet, welche Patches am wichtigsten sind, kompensierende Kontrollen verfolgt und Audit-Nachweise erzeugt. Patch Management ist eines — wichtiges — der Remediation-Werkzeuge innerhalb eines Schwachstellenmanagement-Programms.

    Siehe auch: Plattform

  • MTTR / MTTD

    Mean Time To Remediate (MTTR) und Mean Time To Detect (MTTD) — die wichtigsten operativen Kennzahlen eines Schwachstellenmanagement-Programms. Centraleyezer misst beide pro Team und pro Asset und speist die Daten in den kontextbasierten Risiko-Score zurück (Funde eines langsam remediierenden Teams sind operativ riskanter als die eines schnellen Teams, bei gleichem CVSS-Score).

  • Scanner vs. RBVM-Plattform

    Ein Scanner findet Schwachstellen; eine RBVM-Plattform entscheidet, welche zählen. Beide ergänzen sich, sie konkurrieren nicht. Centraleyezer ist eine RBVM-Plattform, die Output von 16+ Scannern importiert (Nessus, Tenable, Qualys, Rapid7, Burp, Acunetix, Trivy, Wazuh, AWS Inspector, OpenVAS und mehr) und kontextbasiertes Scoring, Compliance-Nachweise und Remediation-Tracking ergänzt.

    Siehe auch: Warum Centraleyezer · Plattform

Glossary — Risk-Based Vulnerability Management Terms | Centraleyezer