CVSS – Common Vulnerability Scoring System

CVSS – Common Vulnerability Scoring System

 

Mit dem Common Vulnerability Scoring System (CVSS) können Schwachstellen in Computersystemen und Software nach ihrer Schwere standardisiert klassifiziert werden. Auf Deutsch bedeutet CVSS „Allgemeines Bewertungssystem für Schwachstellen“.

 

Im Jahr 2005 wurde das CVSS von der Arbeitsgruppe „National Infrastructure Advisory Council“ (NIAC) des US-Ministeriums gegründet und seitdem weiterentwickelt. Heute ist das „Forum of Incident Response and Security Teams” (FIRST) für die Weiterentwicklung zuständig und es sind Unternehmen wie Cisco, Microsoft, IBM, Apple oder das Computer Emergency Response Team (CERT) daran beteiligt.

Mithilfe eines metrischen Punktesystems werden innerhalb einer Spanne von 0,0 bis 10,0, von leicht zu kritisch, bestimmte Metriken wie Angriffsvektoren oder Komplexität bewertet. Mithilfe von Formeln werden diese Metriken dann in einen Score umgerechnet. Diese Formeln sind öffentlich einsehbar und die Scores sind damit transparent.

Das CVSS macht es Unternehmen einfacher vorab zu beurteilen, ob sie bestimmte Anwendungen nutzen wollen, ob diese Ihre entsprechenden Sicherheitsanforderungen erfüllen und/oder ob Maßnahmen ergriffen werden müssen. Dadurch können z. B. IT- und Systemadministratoren schneller Prioritäten setzen und die benötigten Ressourcen ermitteln. Auf Grund der standardisierten und öffentlich bekannten Kriterien ist die Berechnung der Werte nachvollziehbar. Das Bewertungsmodel ist auf verschiedene IT-Systeme und IT-Infrastrukturen anwendbar. Wichtig ist hierbei, dass öffentliche Scores wie z. B. die Datenbank des „National Institute of Standards and Technology“ (NIST) aus Herstellersicht berechnet sind und daher eine Berechnung im Rahmen des Unternehmens zu anderen Ergebnissen führen kann.

Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) ist das CVSS eine gute Methode, um technische Maßnahmen zu ermitteln und zu bewerten. Darüber hinaus kann das CVSS das Risikomanagement im Rahmen des ISMS oder auch allgemein unterstützen.

Zu beachten ist allerdings, dass das CVSS nur die Schwachstelle an sich bewertet und nicht die Eintrittswahrscheinlichkeit oder potenziellen Auswirkungen. Darüber hinaus kann hier nicht die Motivation von Angreifern berücksichtigt werden. Die Bewertungen können daher oftmals kritischer wirken, als sie am Ende tatsächlich sind. Im Kontext eines Unternehmens sollte daher immer nochmal der Grund der Bewertung geprüft werden.

 

Dieses Problem soll durch die Version 4.0 des CVSS verringert werden. Seit Ende 2023 befindet sich das CVSS in der Version 4.0 und soll die Version 3.1 ablösen. Die Version 4.0 teilt die Metriken nochmals feiner auf und ermöglicht eine differenziertere Bewertung. Die Wertegruppen wurden überarbeitet und erweitert. Darüber hinaus wurde eine weitere Gruppe ergänzt, die keinen direkten Einfluss auf die Bewertung hat, aber weitere relevante Informationen liefern kann. Die neue Version soll eine bessere Einschätzung bieten und Risiken realistischer darstellen. Zudem wird der Anwendungsbereich auf das Internet of Things (IoT), industrielle Steuerungssysteme und Operational Technology (OT) erweitert.

Zusammengefasst lässt sich sagen, dass das CVSS eine weitläufig akzeptierte Bewertungsmethode für Schwachstellen ist und eine gute Ergänzung zur Beurteilung der eigenen IT-Sicherheit liefert. Allerdings sollte im Rahmen einer eigenen Risikobewertung immer betrachtet werden, wie kritisch das Ergebnis aus einer CVSS-Kalkulation tatsächlich für ein Unternehmen ist und eigene Berechnungen vorgenommen werden. Auf Grund der weitverbreiteten Anwendung gilt der CVSS in der Version 3.1 aktuell immer noch als Standard. Auch wenn die Version 4.0 viele Besserung bringt, wird es noch einige Zeit dauern, bis dieser sich vollständig etabliert hat.

Ihr benötigt Unterstützung in IT-Sicherheit oder in anderen Bereichen der IT? Wir von der BLUVIT stehen euch mit Rat und Tat zur Seite, um euer Unternehmen vor Cyberkriminalität zu schützen. Bei Beratungs- und Umsetzungswünschen könnt ihr uns gerne ansprechen oder anrufen unter der Telefonnummer: 0561 9402 6666. Alternativ könnt ihr uns auch eine Mail an service@bluvit.de schreiben oder unser Kontaktformular unserer Homepage benutzen.

 

Quellen:

https://www.security-insider.de/was-ist-cvss-a-6b86c9c79cbac8d6769ef4484482eb6d/

 

https://www.security-insider.de/was-sie-unbedingt-ueber-cvss-wissen-sollten-a-786c1ca5b92cca49f39f442977a8883c/

 

https://www.prosec-networks.com/blog/cvss/

 

https://www.first.org/cvss/calculator/4.0

 

https://nvd.nist.gov/vuln/search