Korrelation & Triage
Artikel 14 greift, wenn Sie von einer aktiv ausgenutzten Schwachstelle in Ihrem Produkt Kenntnis erlangen. Die Korrelation liefert die Kandidaten für diese Kenntnis; in der Triage macht ein Mensch aus einem Kandidaten eine dokumentierte Einschätzung.
Woher die Treffer kommen
Abschnitt betitelt „Woher die Treffer kommen“Resilic korreliert Ihr normalisiertes Komponenteninventar gegen drei Quellen:
- EUVD — die europäische Schwachstellendatenbank der ENISA,
- NVD — die National Vulnerability Database des NIST,
- CISA KEV — den Katalog der Known Exploited Vulnerabilities, der das Signal aktiv ausgenutzt liefert.
Jeder Treffer wird durch Ihre Daten verfolgt: Komponente → betroffene Produktversionen → die Auslieferungen (Kunde, Standort), auf denen diese Versionen tatsächlich laufen. Eine Schwachstelle in Software, die Sie nie ausgeliefert haben, sieht sichtbar anders aus als eine auf der Maschine eines Kunden.
Treffer-Konfidenz — Unsicherheit wird gezeigt, nie versteckt
Abschnitt betitelt „Treffer-Konfidenz — Unsicherheit wird gezeigt, nie versteckt“Versions- und Identitätsabgleich aus Feed-Daten ist prinzipbedingt unscharf, deshalb trägt jeder Treffer eine Konfidenz:
- Exakter Treffer — Hersteller/Produkt und die exakte Komponentenversion stimmen überein.
- Starker Treffer — Hersteller/Produkt stimmen; die Version ist kompatibel oder das Advisory nennt keine Version.
- Prüfung nötig — das Produkt stimmt, aber die Versionsbeziehung ist unsicher. Solche Treffer werden einbezogen und markiert, nie stillschweigend verworfen — ein verpasster Auslöser wäre der schlimmere Fehler. Die Oberfläche bittet Sie, den Treffer zu bestätigen, bevor Sie darauf aufbauen.
Ein Korrelationstreffer ist ein prüfwürdiges Signal, keine rechtliche Feststellung, dass die Artikel-14-Uhr läuft. Diese Feststellung treffen Sie.
Warnungen bei aktiv ausgenutzten Treffern
Abschnitt betitelt „Warnungen bei aktiv ausgenutzten Treffern“Trifft eine neue KEV-gelistete Schwachstelle ein ausgeliefertes Produkt, löst Resilic eine Warnung aus (auf Wunsch per E-Mail — siehe Benachrichtigungen). Die Warnung ist genau als das gerahmt, was sie ist: ein Kenntnis-Auslöser zur Bewertung durch Sie, keine automatische Meldepflicht.
KI-Triage — ein Vorschlag, über den Sie entscheiden
Abschnitt betitelt „KI-Triage — ein Vorschlag, über den Sie entscheiden“Zu jeder korrelierten Schwachstelle können Sie eine KI-Triage anfordern: eine fundierte Zusammenfassung, eine vorgeschlagene Aktion und die zitierten Quellen. Die Vorschläge sind bewusst zurückhaltend:
- Beobachten — geringe Dringlichkeit, im Blick behalten.
- Behebung priorisieren — z. B. hoher Schweregrad mit Versionstreffer.
- Für Artikel-14-Meldung prüfen — ein Mensch soll bewerten, ob die Meldeschwelle erreicht ist. Der Vorschlag stellt das nicht fest.
Jede Triage trägt das Abzeichen KI-generiert oder regelbasiert, und Sie schließen den Kreis, indem Sie sie bestätigen oder verwerfen — diese Entscheidung samt Zeitstempel ist die dokumentierte Einschätzung, und sie ist Ihre. Die Triage legt nie ein meldepflichtiges Ereignis an und startet nie eine gesetzliche Frist; das kann nur ein Mensch, im Melde-Workflow.