Blog

CVSS - Common Vulnerability Scoring System: Schwachstellenbewertung mit System!

Software-Schwachstellen sind immer mehr ein globales wie auch kollektives Dilemma der IT-Sicherheit. Unternehmen sind dazu angehalten, derartige nach dem Bekanntwerden schnellstmöglich zu beheben. Dabei sollten sie sich aber erst einmal auf die Software-Schwachpunkte mit dem größten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System hilft bei der Begutachtung und Beurteilung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Einzelnen arbeitet und weshalb es für Firmen wichtig ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, einzeln zu ermessen, offenbaren wir Ihnen im nachfolgenden Beitrag.

Software ist omnipräsent.
Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder Autos: In sämtlichem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Services eine relevante, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer größeren Wertschöpfungsanteil dar und bieten ein großes Potenzial für disruptive Neuerungen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.

Zur gleichen Zeit wird Software dank wachsender Codebasis immer komplizierter – und damit anfälliger für Software-Fehler und Software-Schwachstellen, welche nach dem Erkennen schleunigst behoben werden sollten.

Allein im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) zufolge, über 66.000 verifizierte Software-Schwachstellen gemeldet.

Doch wie können Unternehmen wie auch IT-Verantwortliche unter der riesigen Anzahl täglich veröffentlichter Software-Schwachpunkte, diejenigen finden, die das größte Sicherheitsrisiko für die IT-Systemlandschaft darstellen und vorrangig behoben werden müssen?

Die Antwort ist: Common Vulnerability Scoring System, kurz CVSS.

Common Vulnerability Scoring System: Definition und Hintergründe!

Beim Common Vulnerability Scoring System dreht es sich um einen Maßstab, welcher die Verwundbarkeit von IT-Systemen sowie den Schweregrad von Software-Schwachstellen anhand bestimmter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren beschreibt und jene nach einem Punktesystem von 0 bis 10 einordnet. Auf diese Weise sind Unternehmen in der Lage die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, besser einzuschätzen, ihre Wirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Vulnerabilität zu priorisieren.

Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Fachgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine kostenlose sowie standardisierte Möglichkeit zur Bewertung von Software-Schwachstellen bereitzustellen. Mittlerweile geschieht die Weiterentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, knapp FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Von niedrig bis kritisch!

Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System anhand von drei Überprüfungen, die als Metriken betitelt werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.

o Grundmetrik: Die Grundmetrik stellt die intrinsischen Eigenschaften einer Software-Schwachstelle dar. Die Angaben sind zeitlich konstant und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen fügt sich die Grundmetrik aus zwei Gruppen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.

o Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgebeutet werden kann.

o Die Auswirkungen-Metriken dagegen geben die konkreten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.

o zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, aber nicht über Benutzerumgebungen hinweg ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit gesehen, weil mehr und mehr Gegenmaßnahmen etwa offizielle Patches sowie Workarounds bekannt und verfügbar werden.

o Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines bestimmten Benutzers von Belang wie auch einmalig sind. Zu den Überlegungen gehören das Vorhandensein von Sicherheitskontrollen, die einige oder alle Konsequenzen eines gelungenen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Infrastruktur.

Common Vulnerability Scoring System: Software-Schwachstelle ist nicht gleich Software-Schwachstelle!

Das Common Vulnerability Scoring System beschreibt nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es klassifiziert diese auch nach einem Punktesystem von 0 bis 10, bei dem der Wert bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.

Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ unterteilt worden.

Aufgrund dessen heißt ein CVSS-Score

• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
• zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
• zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
• zwischen 9,0 und 10,0 eine kritische Vulnerabilität.

Common Vulnerability Scoring System: Die Vorteile auf einen Blick!

Der Gebrauch des Common Vulnerability Scoring Systems bietet Unternehmen eine Reihe lohnender Vorteile: Zum einen unterstützt es die Unternehmen dabei, sämtliche Software-Schwachstellen vorrangig zu schließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und einleuchtend, weil die Schwachstellen-Beurteilung nach gleichen sowie universellen Merkmalen passiert. Ein weiterer Gewinn liegt darin, dass sich der Standard auf unterschiedliche IT-Landschaften und IT-Systeme transferieren lässt. Außerdem existieren Datenbanken, in welchen Firmen die Einstufungen bekannter Software-Schwachstellen entnehmen können.

Mehr IT-Sicherheit durch Schwachstellenpriorisierung!

Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer öfter beherrschen Nachrichten über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirksames sowie leistungsfähiges Instrument, welches Unternehmen dabei hilft, Prioritäten bei der Beseitigung und Minderung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Firmen Optimierungsmöglichkeiten besser auszuschöpfen.

Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und so Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Fragen zum Thema? 

Nehmen Sie mit uns Kontakt auf, rufen Sie uns unter 0661 679289-0 an oder schreiben Sie 
KRAFT SYSTEMS unter info@KRAFT-SYSTEMS.de eine Nachricht.

Als IT Systemhaus mit 30 jähriger Erfahrung im Raum Fulda sind wir Ihr Ansprechpartner in Sachen IT.