Was ist eigentlich ein CVSS? CVSS Grundlagen kurz erklärt.

Was ist eigentlich ein CVSS? CVSS Grundlagen kurz erklärt.

24.01.2023

Software-Schwachpunkte sind zunehmend ein globales wie auch kollektives Dilemma der IT-Sicherheit. Unternehmen sind dazu angehalten, derartige nach dem Erkennen prompt zu schließen. Angesichts dessen sollten sie sich aber erst einmal auf die Software-Schwachpunkte mit dem mächtigsten Angriffspotenzial fokussieren. Das CVSS (Common Vulnerability Scoring System) ist hilfreich bei der Einschätzung und Bewertung und eignet sich somit als Leitlinie. Wie das CVSS im Einzelnen arbeitet und warum es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, individuell zu ermessen, offenbaren wir Ihnen im folgenden Blogbeitrag.

Software ist omnipräsent

Ob Kaffeevollautomaten, Waschmaschinen, Heizungen, Smart-Home-Fernseher oder KFZs: In fast allem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die bedeutendste Rolle. Insbesondere im Geschäftsumfeld stellen sie einen immer größeren Wertschöpfungsanteil dar und bieten ein enormes Potenzial für disruptive Neuerungen, neue Geschäftsmodelle und nachhaltiges Unternehmenswachstum.

Zur gleichen Zeit wird Software dank wachsender Codebasis immer komplizierter – und somit anfälliger für Software-Fehler und Software-Schwachstellen, welche nach dem Bekanntwerden schnellstmöglich behoben werden müssen.

Lediglich 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, mehr als 66.000 verifizierte Software-Schwachstellen gelistet.

Aber wie können Unternehmen wie auch IT-Verantwortliche unter der riesigen Anzahl täglich veröffentlichter Software-Schwachstellen, diejenigen ausfindig machen, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und in erster Linie beseitigt werden müssen?

Die Lösung lautet: Common Vulnerability Scoring System, kurz CVSS.

CVSS: Definition und Hintergründe

Beim CVSS dreht es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen sowie den Schweregrad von Software-Schwachstellen anhand definierter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren beschreibt und jene nach einem Punktesystem von 0 bis 10 einordnet. So sind Unternehmen in der Lage die Gefährdungspotenziale, die von Software-Schwachstellen kommen, passender einzuschätzen, ihre Auswirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren und die Gegenmaßnahmen entsprechend dem Schweregrad der Verwundbarkeit zu priorisieren.

Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine gebührenfreie und standardisierte Methode zur Abschätzung von Software-Schwachstellen bereitzustellen. Mittlerweile erfolgt die Fortentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

CVSS: Die drei Metriken auf einen Blick!

Die Bewertung von Software-Schwachstellen erfolgt beim CVSS anhand von drei Überprüfungen, die als Metriken bezeichnet werden: die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.

Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Angaben sind zeitlich unveränderlich und sind in unterschiedlichen Benutzerumgebungen gleich. Im Allgemeinen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken und den Auswirkungen-Metriken.

  • Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit wie auch die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgenutzt werden kann.
  • Die Auswirkungen-Metriken hingegen spiegeln die direkten Konsequenzen einer erfolgreichen Ausnutzung einer Software-Schwachstelle wider und stellen auf diese Weise die Effekte für den Angriffsvektor dar, welcher die Folgen erleidet.

Zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegenteil zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, jedoch nicht über Benutzerumgebungen über ändern kann. Demnach sinkt die Verwundbarkeit eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen etwa offizielle Patches sowie Workarounds bekannt und verfügbar werden.

Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, die für die Umgebung eines bestimmten Benutzers relevant und einmalig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, welche einige oder alle Folgen eines erfolgreichen Internetangriffs abmildern können und die relative Bedeutsamkeit eines verwundbaren IT-Systems inmitten einer technologischen Infrastruktur.

CVSS: Der Schweregrad ist entscheidend!

Das Common Vulnerability Scoring System beschreibt nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es klassifiziert diese ebenfalls nach einem Punktesystem von 0 bis 10, wobei der Wert beziehungsweise CVSS-Score von 10,0 die höchste Vulnerabilität (verwundbarkeit) eines IT-Systems und damit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.

Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.

Aufgrund dessen bedeutet ein CVSS-Score

  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
  • zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
  • zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
  • zwischen 9,0 und 10,0 eine kritische Vulnerabilität.

Welche Vorteile ergeben sich durch den Einsatz von Common Vulnerability Scoring Systemen?

Der Einsatz des CVSS bietet Firmen eine Reihe lohnender Vorteile: Zum einen betreut es die Unternehmen dabei, sämtliche Software-Schwachstellen vorrangig zu verschließen, welche das größte Sicherheitsrisiko für deren IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch nachvollziehbar, da die Schwachstellen-Bewertung nach einheitlichen und universellen Merkmalen passiert. Ein weiterer Gewinn besteht darin, dass sich der Standard auf verschiedene IT-Landschaften und IT-Systeme übertragen lässt. Außerdem gibt es Datenbanken, in welchen Firmen die Einstufungen bekannter Software-Schwachstellen finden können.

Der Einsatz lohnt sich!

Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer öfter dominieren Meldungen über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung entstehen können. Das CVSS ist ein wirkungsvolles und leistungsfähiges Instrument, das Unternehmen dabei hilft, Prioritäten bei der Behebung und Reduzierung von IT-Schwachstellen zu setzen. Außerdem gestattet es den Unternehmen Optimierungspotenziale besser auszuschöpfen.

Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns!

Alle Artikel ansehen