Common Vulnerability Scoring System: Transparentes Bewertungsverfahren für Software-Schwachstellen!

Software-Schwachstellen sind immer mehr ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu aufgerufen, derartige nach dem Bekanntwerden schnellstmöglich zu beheben. Angesichts dessen sollten sie sich jedoch zunächst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System hilft bei der Begutachtung und Beurteilung und dient somit als Orientierung. Wie das Common Vulnerability Scoring System im Einzelnen funktioniert und weshalb es für Unternehmen wichtig ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln zu ermessen, verraten wir Ihnen im nachfolgenden Blogbeitrag.

Software ist omnipräsent.
Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Fernseher oder auch KFZs: In sämtlichem, was uns heute umgibt, spielen softwareintensive Systeme und Services eine relevante, wenn nicht die bedeutendste Rolle. Primär im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Innovationen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.

Zur gleichen Zeit wird Software aufgrund wachsender Codebasis immer komplexer – und damit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Bekanntwerden schnellstmöglich behoben werden sollten.

Allein im Jahr 2021 wurden, dem aktuellen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, über 66.000 verifizierte Software-Schwachstellen gelistet.

Doch wie können Firmen wie auch IT-Verantwortliche unter der beträchtlichen Anzahl täglich veröffentlichter Software-Schwachpunkte, jene ausfindig machen, die das größte Sicherheitsrisiko für die IT-Systemlandschaft darstellen und in erster Linie beseitigt werden müssen?

Die Antwort ist: Common Vulnerability Scoring System, kurz gesagt CVSS.

Was ist ein Common Vulnerability Scoring System eigentlich?

Beim Common Vulnerability Scoring System handelt es sich um einen Standard, welcher die Vulnerabilität von IT-Systemen und den Grad von Software-Schwachstellen anhand bestimmter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren zeigt und jene nach einem Punktesystem von 0 bis 10 einordnet. Auf diese Weise sind Firmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Schweregrad der Vulnerabilität zu priorisieren.

Konzipiert wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine gebührenfreie sowie standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen zu entwerfen. Inzwischen geschieht die Weiterentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, knapp FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Auf einen Blick: Die unterschiedlichen Metriken zur differenzierten Bewertung!

Die Beurteilung von Software-Schwachstellen geschieht beim Common Vulnerability Scoring System mit Hilfe von drei Überprüfungen, die als Metriken bezeichnet werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.

Grundmetrik: Die Grundmetrik stellt alle intrinsischen Merkmale der Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Maßnahmen wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
Die Auswirkungen-Metriken hingegen spiegeln die konkreten Konsequenzen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, der die Folgen erleidet.
zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, aber nicht über Benutzerumgebungen hinweg ändern kann. Demnach sinkt die Vulnerabilität eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit betrachtet, weil mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt und verfügbar werden.
Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers von Belang wie auch einmalig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, welche etliche oder alle Folgen eines erfolgreichen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems inmitten einer technologischen Infrastruktur.

Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!

Das Common Vulnerability Scoring System definiert nicht nur den Grad von Software-Schwachstellen anhand klarer Metriken. Es strukturiert diese auch nach einem Punktesystem von 0 bis 10, wobei der Wert bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und damit dem höchsten Grad einer Software-Schwachstelle entspricht.

Unterteilung der CVSS-Scores

Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.

Aufgrund dessen bedeutet ein CVSS-Score

von 0,0 keine Verwundbarkeit
zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
zwischen 7,0 und 8,9 eine hohe Vulnerabilität
zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.

Common Vulnerability Scoring System: Die Vorteile auf einen Blick!

Der Einsatz des Common Vulnerability Scoring Systems bietet Firmen eine Reihe lohnender Vorteile: Zum einen betreut es die Firmen dabei, sämtliche Software-Schwachstellen vorrangig zu schließen, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft sind. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch nachvollziehbar, da die Schwachstellen-Beurteilung nach einheitlichen sowie universellen Kriterien erfolgt. Ein weiterer Gewinn liegt darin, dass sich dieser Standard auf unterschiedliche IT-Umgebungen und IT-Systeme transferieren lässt. Überdies gibt es Datenbanken, in denen Unternehmen die Einstufungen bekannter Software-Schwachstellen finden können.

Der Einsatz von Common Vulnerability Scoring Systemen lohnt sich!

Die Zahl gefährlicher Software-Schwachstellen nimmt seit mehreren Jahren zu. Immer häufiger dominieren Nachrichten über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, welche durch ihre gelungene Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirksames sowie effizientes Instrument, welches Unternehmen dabei hilft, Prioritäten bei der Beseitigung und Reduzierung von IT-Schwachstellen zu setzen. Außerdem gestattet es den Unternehmen Optimierungspotenziale effizienter für sich zu nutzen.

Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und so Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Fragen zum Thema?

Kontaktieren Sie uns!