Software-Schwachpunkte sind immer mehr ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu angehalten, diese nach dem Bekanntwerden prompt zu beheben. Dabei sollten sie sich aber erst einmal auf die Software-Schwachstellen mit dem mächtigsten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System hilft bei der Begutachtung und Beurteilung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Detail funktioniert und weshalb es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, individuell zu ermessen, verraten wir Ihnen im nachfolgenden Blogbeitrag.

Software ist omnipräsent.

Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme sowie Services eine wichtige, wenn nicht die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immerzu größeren Wertschöpfungsanteil dar und bieten ein großes Potenzial für disruptive Innovationen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.

Zur selben Zeit wird Software dank steigender Codebasis immer komplexer – und damit anfälliger für Software-Fehler und Software-Schwachstellen, welche nach dem Erkennen schnellstmöglich behoben werden sollten.

Allein im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, über 66.000 verifizierte Software-Schwachstellen gemeldet.

Doch wie können Firmen wie auch IT-Verantwortliche unter der riesigen Menge täglich veröffentlichter Software-Schwachpunkte, jene ausfindig machen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und in erster Linie behoben werden müssen?

Die Antwort ist: Common Vulnerability Scoring System, kurz CVSS.

Common Vulnerability Scoring System: Definition und Hintergründe!

Beim Common Vulnerability Scoring System dreht es sich um einen Maßstab, welcher die Verwundbarkeit von IT-Systemen sowie den Schweregrad von Software-Schwachstellen anhand bestimmter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren beschreibt und jene nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Firmen in der Lage die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, besser einzuschätzen, deren Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Vulnerabilität zu priorisieren.
Konzipiert wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine kostenlose und standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen zu entwerfen. Inzwischen geschieht die Fortentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, kurz FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Die Metriken und das Punktesystem auf einen Blick!

Die Bewertung von Software-Schwachstellen geschieht beim Common Vulnerability Scoring System anhand von drei Messungen, welche als Metriken betitelt werden: die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.
  • Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Werte sind zeitlich konstant und sind in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
  • Die Ausnutzbarkeit-Metriken spiegeln die Leichtigkeit und die technischen Mittel wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
  • Die Auswirkungen-Metriken dagegen spiegeln die direkten Folgen einer erfolgreichen Ausnutzung einer Software-Schwachstelle wider und stellen auf diese Weise die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.
  • zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, jedoch nicht über Benutzerumgebungen hinweg ändern kann. Demnach sinkt die Vulnerabilität eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit gesehen, weil mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt wie auch verfügbar werden.
  • Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, welche für die Umgebung eines definierten Benutzers relevant und einzigartig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, welche etliche oder alle Konsequenzen eines erfolgreichen Internetangriffs abmildern können und die relative Bedeutung eines verwundbaren IT-Systems inmitten einer technologischen Landschaft.

Common Vulnerability Scoring System: Das Punktesystem auf einen Blick!

Das Common Vulnerability Scoring System definiert nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es klassifiziert diese auch nach einem Punktesystem von 0 bis 10, bei dem der Wert bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und damit dem höchsten Grad einer Software-Schwachstelle entspricht.

Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ unterteilt worden.

Aufgrund dessen bedeutet ein CVSS-Score
  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
  • zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
  • zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
  • zwischen 9,0 und 10,0 eine kritische Vulnerabilität.

Common Vulnerability Scoring System: Welche Vorteile ergeben sich durch den Einsatz von Common Vulnerability Scoring Systemen?

Der Gebrauch des Common Vulnerability Scoring Systems bietet Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, sämtliche Software-Schwachstellen erstmal zu verschließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch nachvollziehbar, da die Schwachstellen-Bewertung nach gleichen sowie universellen Kriterien passiert. Ein weiterer Vorteil liegt darin, dass sich der Standard auf verschiedene IT-Landschaften sowie IT-Systeme transferieren lässt. Überdies gibt es Datenbanken, in welchen Firmen die Einstufungen identifizierter Software-Schwachstellen finden können.

Ein Common Vulnerability Scoring System lohnt sich!

Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Meldungen über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre gelungene Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirksames sowie effizientes Instrument, welches Firmen dabei supportet, Prioritäten bei der Beseitigung und Minderung von IT-Schwachstellen zu platzieren. Außerdem ermöglicht es den Firmen Optimierungsmöglichkeiten besser auszuschöpfen.
Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und so Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Ansuchen zum Thema? Sprechen Sie uns an!