Common Vulnerability Scoring System: Definition und alle Grundlagen!

Software-Schwachpunkte sind zunehmend ein globales wie auch kollektives Dilemma der IT-Sicherheit. Unternehmen sind dazu aufgerufen, derartige nach dem Erkennen prompt zu beheben. Dabei sollten sie sich aber zunächst einmal auf die Software-Schwachpunkte mit dem mächtigsten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Bewertung und eignet sich somit als Orientierung. Wie das Common Vulnerability Scoring System im Einzelnen funktioniert und weshalb es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, individuell einzuschätzen, verraten wir Ihnen im folgenden Beitrag.

Software ist omnipräsent.

Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Geräte oder auch KFZs: In sämtlichem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht die bedeutendste Rolle. Primär im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und eröffnen ein enormes Potenzial für disruptive Innovationen, frische Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.

Zur selben Zeit wird Software dank steigender Codebasis ständig komplexer – und damit anfälliger für Software-Fehler wie auch Software-Schwachstellen, die nach dem Erkennen schleunigst behoben werden müssen.

Lediglich im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, über 66.000 verifizierte Software-Schwachstellen gemeldet.

Doch wie können Firmen und IT-Verantwortliche unter der beträchtlichen Anzahl täglich veröffentlichter Software-Schwachpunkte, jene ausfindig machen, welche das größte Sicherheitsrisiko für die IT-Systemlandschaft darstellen und vorrangig beseitigt werden müssen?

Die Antwort lautet: Common Vulnerability Scoring System, kurz gesagt CVSS.

Was versteht man unter einem Vulnerability Scoring System?

Beim Common Vulnerability Scoring System handelt es sich um einen Standard, welcher die Vulnerabilität von IT-Systemen und den Schweregrad von Software-Schwachstellen anhand bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und jene nach einem Punktesystem von 0 bis 10 klassifiziert. Auf diese Weise sind Firmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen kommen, besser einzuschätzen, ihre Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Grad der Vulnerabilität zu priorisieren.

Konzipiert wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine kostenlose sowie standardisierte Möglichkeit zur Bewertung von Software-Schwachstellen zu entwerfen. Inzwischen geschieht die Fortentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.

Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Base, Temporal oder doch Environmental – das ist hier die Frage!

Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System anhand von drei Messungen, welche als Metriken betitelt werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.

  • Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale einer Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und sind in unterschiedlichen Benutzerumgebungen gleich. Im Allgemeinen fügt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken und den Auswirkungen-Metriken.
  • Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgenutzt werden kann.
  • Die Auswirkungen-Metriken hingegen spiegeln die direkten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, der die Folgen erleidet.
  • zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, aber nicht über Benutzerumgebungen hinweg ändern kann. Demnach sinkt die Vulnerabilität eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit gesehen, weil mehr und mehr Gegenmaßnahmen etwa offizielle Patches und Workarounds bekannt wie auch verfügbar werden.
  • Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers relevant und einmalig sind. Zu den Überlegungen zählen das Dasein von Sicherheitskontrollen, welche einige oder alle Folgen eines gelungenen Internetangriffs abmildern können und die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Landschaft.

Common Vulnerability Scoring System: Die CVSS-Scores auf einen Blick!

Das Common Vulnerability Scoring System beschreibt nicht nur den Grad von Software-Schwachstellen anhand klarer Metriken. Es klassifiziert diese auch nach einem Punktesystem von 0 bis 10, wobei der Wert bzw. CVSS-Score von 10,0 die höchste Vulnerabilität eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.

Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ eingeteilt worden.

Aufgrund dessen heißt ein CVSS-Score

  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
  • zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
  • zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
  • zwischen 9,0 und 10,0 eine kritische Vulnerabilität.

Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!

Der Einsatz des Common Vulnerability Scoring Systems bietet Firmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, alle Software-Schwachstellen vorrangig zu schließen, die das größte Sicherheitsrisiko für deren IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch nachvollziehbar, da die Schwachstellen-Beurteilung nach einheitlichen sowie universellen Merkmalen passiert. Ein weiterer Vorteil liegt darin, dass sich dieser Standard auf unterschiedliche IT-Landschaften und IT-Systeme übertragen lässt. Überdies existieren Datenbanken, in welchen Unternehmen die Einstufungen identifizierter Software-Schwachstellen finden können.

Ein Common Vulnerability Scoring System lohnt sich!

Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit mehreren Jahren zu. Immer häufiger beherrschen Meldungen über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, die durch ihre erfolgreiche Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirksames sowie leistungsfähiges Instrument, das Unternehmen dabei hilft, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu platzieren. Ferner ermöglicht es den Firmen Optimierungspotenziale effizienter für sich zu nutzen.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.