Sicherheitslücken in Betriebssystemen und Anwendersoftware treten immer wieder auf. Nur rechtzeitige Information ermöglicht es Nutzern und Administratoren, notwendige Maßnahmen zu ergreifen, um die Ausnutzung solcher „Schwachstellen“ zu verhindern, da der Aufwand zur Behebung eines Schadens in den meisten Fällen wesentlich größer als der Aufwand zu dessen Vorbeugung ist.
Seit vielen Jahren sammelt das DFN-CERT Informationen zu Schwachstellen und veröffentlicht sie in deutscher Sprache und angereichert mit Hintergrundinformationen als so genannte „Security Advisories“. Das DFN-CERT sammelt Sicherheitswarnungen von Herstellen und überprüft darüber hinaus Kanäle, auf denen Update-Informationen zur Verfügung gestellt werden. So werden z. B. im Austausch mit anderen CERTs zusätzliche Hintergrundinformationen erarbeitet, die Antworten auf folgende Fragen geben können:
Unter welchen Voraussetzungen ist ein System betroffen?
Wie können Angriffe auf die Schwachstelle z.B. in den Log-Daten des Systems erkannt werden?
Wie kritisch ist die Schwachstelle und wird sie bereits in der Praxis ausgenutzt?
Steht für das betroffene Programm ein Update bereit oder gibt es einen temporären Workaround?
Viele Hersteller verwenden für die Kennzeichnung von Schwachstellen eine standardisierte Bezeichnung, die CVE-Nummer. Taucht eine Schwachstelle in unterschiedlichen Softwareprodukten auf, kann sie dadurch eindeutig zugeordnet werden und das DFN-CERT kann diese Informationen in einer Schwachstellenmeldung bündeln. Alle verfügbaren Informationen werden vom DFN-CERT zusammengefasst, in ein einheitliches und „menschenlesbares“ Format gebracht und als Schwachstellenmeldungen an interessierte Nutzer weitergegeben.