?>
CVSS-Score
Author
Maren Keller, Fr, 8. Sep. 2023
 in IT-Sicherheit

CVSS-Score

Was besagt das Common Vulnerability Scoring System

Sicherheitslücken und die Verwundbarkeit von IT-Lösungen werden nach ihrer Schwere bewertet und mittles einer Zahl, dem CVSS-Score, dargestellt. 

Doch was bedeutet die Zahl? Was ist der Code? Was bedeutet CVSS? Alle Infos haben wir.

Was ist der CVSS-Score?

CVSS ist die Abkürzung für Common Vulnerability Scoring System, was zu deutsch mit „Allgemeines Bewertungssystem für Schwachstellen“ übersetzt wird. Beim CVSS-Score (auch CVSS-Code) handelt es sich um einen Industriestandard, der die Schwere von Sicherheitslücken und die Verwundbarkeit von IT-Lösungen bewertet. Und zwar einheitlich über ein Punktesystem von 0 bis 10.

Der Vorteil des einheitlichen Punktesystems besteht darin, dass Schwachstellen besser verstanden und einheitlich kommuniziert werden können. Die Schwere der Sicherheitslücken und Verwundbarkeit von IT-Lösungen wird dabei in fünf Kategorien eingeteilt: von „keine“ über „niedrig“, „mittel“ und „hoch“ bis hin zu „kritisch“.

Der CVSS-Score wird als Teil der Schwachstellenanalyse im Rahmen eines Pentests ermittelt. Die Tester stufen die entdeckten Schwachstellen nach CVSS-Code ein, wodurch festgestellt  werden kann, ob und inwiefern die erkannten Bedrohungen zu einer Datengefährdung oder sogar zu einem Datenverlust führen können. So hilft das CVSS bei der Einschätzung der Sicherheitsrisiken und dient gleichzeitig als Orientierung für Nutzer, wenn sie beispielsweise den Download einer Applikation in Erwägung ziehen.

CVSS-Score: Monitor mit Code. Bild: Pexels/Pixabay (https://www.pexels.com/de-de/foto/monitor-zeigt-fehlertext-an-270557/)

Cyberkriminelle nutzen Lücken in IT-Systemen gnadenlos aus. Der CVSS-Score bewertet, ob Lücken und in welchem Schweregrad vorliegen. Bild: Pexels/Pixabay

Metriken für CVSS

Für die IT-Landschaft bedeutet der Common Vulnerability Scoring System (CVSS) gleichzeitig eine Priorisierung zur Schließung von Sicherheitslücken. Als De-facto-Standard kann der CVSS aus bis zu drei Einzelbewertungen bestehen, den sogenannten Metrikgruppen (Metric Groups). Das Ergebnis erhält man den Basis-Score (Base), einen optionalen zeitabhängigen Score (Temporal) und einen Score abhängig von der IT-Umgebung (Environmental). Wie Basis, Temporal und Environmental aufeinander Einfluss nehmen, zeigen wir nun:

  • Base ist die Basis-Metrik. Sie zeigt die einer Schwachstelle innewohnenden Attribute auf, die völlig unabhängig von Umgebung oder Zeitpunkt sind. Das Ergebnis der Bewertung ist der CVSS Basis Score.
    Temporal stellt die zeitliche Metrik dar, die die Basis-Metrik als Ausgangspunkt nimmt. Aufgrund von Überlegungen wie „Falls es keinen gut funktionierenden und veröffentlichten Exploit-Code gibt“ oder „Falls es einen temporären Fix/Workaround gibt“ wird der CVSS-Score leicht verringert. Das Ergebnis ist der CVSS Temporal Score.
  • Environmental nennt sich die Umgebungsmetrik. Sie kann den CVSS-Code entweder erhöhen oder erniedrigen und berücksichtigt die Auswirkungen der Sicherheitsanfälligkeit auf die IT-Umgebung. Als Ergebnis kommt der CVSS Environmental Score heraus.

Alle drei Metriken gemeinsam ergeben den CSVV-Score, der die Schwere einer Sicherheitslücke definiert.

Werte des CVSS-Score

Der CVSS-Code wird auf einer Skala zwischen 0 (kein Risiko) bis 10 (kritisches Risiko) eingestuft. Doch welche Werte gelten für welche Einstufung? Laut aktueller Version des CVSS 3.0 ist die Skala des CVSS-Score folgendermaßen definiert:

  • 0 = kein Schweregrad
  • 0,1 bis 3,9 = niedriger Schweregrad
  • 4,0 bis 6,9 = mittlerer Schweregrad
  • 7,0 bis 8,9 hoher Schweregrad
  • 9,0 bis 10 = kritischer Schweregrad

Wenn wir hier im Blog über Sicherheitslücken berichten, nennen wir auch, wenn bekannt, den CVSS-Score, beispielsweise in den Beiträgen 7-Zip-Sicherheitslücke, Ghostscript, Zero-Day-Schwachstelle oder Log4j, damit auch Sie wissen, dass es dringend an Zeit zu handeln ist.

CVSS-Score: Tür mit dicken Riegeln für mehr Sicherheit. Bild: Pexels/Pixabay (https://www.pexels.com/de-de/foto/deadlock-mit-schlussel-am-loch-279810/)

Wenn IT-Verantwortliche wissen, ob eine IT-Lösung mit einem CVSS-Score, können sie die Sicherheit erhöhen. Bild: Pexels/Pixabay

IT-Sicherheit? Auf PC-SPEZIALIST ist Verlass!

Sicherheitslücken stellen in jeder Form eine Gefahr für die Sicherheit Ihrer Daten dar. Nur durch Updates der Software oder auch der Firmware, die der Hersteller beim Bekanntwerden der Lücke entwickelt und als Sicherheitspatch zur Verfügung stellt, können kriminelle Angreifer davon abgehalten werden, unbefugt auf fremde Rechner zuzugreifen.

Daneben spielt es natürlich auch eine Rolle, dass Ihre Computer und insbesondere Firmenrechner gut geschützt sind. Firewall, Backup und Antivirensoftware stellen die Grundlagen für eine sichere IT dar. Daneben sind weitere Maßnahmen möglich, die die IT-Sicherheit erhöhen. Zu nennen sind hier der IT-Basisschutz für Firmen und das Eins-für-Alles-Paket für Privatkunden, welche einen umfassenden und vor allem proaktiven Schutz darstellen. Noch ehe etwas passiert, sorgen wir dafür, dass Sie geschützt sind.

Lassen Sie sich gern von Ihrem PC-SPEZIALIST in Ihrer Nähe zu den Möglichkeiten beraten. Nehmen Sie Kontakt zu uns auf.

_______________________________________________

Quellen: redlings, appvisory, computerweekly, Pexels/Andrea Piacquadio (Headerbild)

,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren