12.01.2023

CVSS: Umfassend durchleuchtet!

CVSS: Umfassend durchleuchtet!

Software-Schwachpunkte sind zunehmend ein globales wie auch kollektives Problem der IT-Sicherheit. Unternehmen sind dazu aufgerufen, diese nach dem Erkennen schnellstmöglich zu beheben. Dabei sollten sie sich aber zunächst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Beurteilung und dient somit als Leitlinie. Wie das Common Vulnerability Scoring System im Einzelnen arbeitet und warum es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln zu ermessen, offenbaren wir Ihnen im folgenden Blogbeitrag.

Software ist omnipräsent.

Software-Schwachpunkte sind zunehmend ein globales wie auch kollektives Problem der IT-Sicherheit. Unternehmen sind dazu aufgerufen, diese nach dem Erkennen schnellstmöglich zu beheben. Dabei sollten sie sich aber zunächst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial fokussieren.

Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder auch Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die bedeutendste Rolle. Insbesondere im Geschäftsumfeld stellen sie einen immerzu größeren Wertschöpfungsanteil dar und bieten ein großes Potenzial für disruptive Neuerungen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.

Zur gleichen Zeit wird Software dank wachsender Codebasis ständig komplizierter – und damit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Bekanntwerden schleunigst geschlossen werden sollten.

Lediglich im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) entsprechend, über 66.000 verifizierte Software-Schwachstellen gemeldet.

Doch wie können Firmen wie auch IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachpunkte, jene finden, die das größte Sicherheitsrisiko für die IT-Systemlandschaft sind und in erster Linie behoben werden müssen?

Die Antwort lautet: Common Vulnerability Scoring System, kurz CVSS.

Common Vulnerability Scoring System: Definition und Hintergründe!

Beim Common Vulnerability Scoring System dreht es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen und den Grad von Software-Schwachstellen anhand bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und diese nach einem Punktesystem von 0 bis 10 einordnet. So sind Firmen in der Lage, die Gefährdungspotenziale, welche von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Grad der Vulnerabilität zu priorisieren.

Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es, eine gebührenfreie sowie standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen zu entwerfen. Inzwischen erfolgt die Weiterentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Auf einen Blick: Die unterschiedlichen Metriken zur differenzierten Bewertung!

Die Beurteilung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mithilfe von drei Überprüfungen, welche als Metriken bezeichnet werden:
die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.

  • Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Angaben sind zeitlich konstant und bleiben in unterschiedlichen Benutzerumgebungen gleich. Im Allgemeinen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
  • Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit wie auch die technischen Maßnahmen wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
  • Die Auswirkungen-Metriken dagegen spiegeln die direkten Folgen einer erfolgreichen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, der die Folgen erleidet.
  • Zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Zuge der Zeit, aber nicht über Benutzerumgebungen über ändern kann. Darum sinkt die Vulnerabilität eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit gesehen, da mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt wie auch verfügbar werden.
  • Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers von Belang wie auch einmalig sind. Zu den Überlegungen zählen das Dasein von Sicherheitskontrollen, welche einige oder alle Folgen eines gelungenen Internetangriffs abmildern können und die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Landschaft.

Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!

Das Common Vulnerability Scoring System definiert nicht nur den Schweregrad von Software-Schwachstellen anhand klarer Metriken. Es klassifiziert diese ebenfalls nach einem Punktesystem von 0 bis 10, wobei der Rang beziehungsweise CVSS-Score von 10,0 die höchste Vulnerabilität eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.

Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ eingeteilt worden.

Demnach heißt ein CVSS-Score

  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
  • zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
  • zwischen 7,0 und 8,9 eine hohe Vulnerabilität
  • zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.

Common Vulnerability Scoring System: Welche Vorteile ergeben sich durch den Einsatz von Common Vulnerability Scoring Systemen?

Der Gebrauch des Common Vulnerability Scoring Systems bringt Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Unternehmen dabei, sämtliche Software-Schwachstellen erstmal zu verschließen, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent und einleuchtend, weil die Schwachstellen-Beurteilung nach gleichen sowie universellen Merkmalen erfolgt. Ein weiterer Vorteil liegt darin, dass sich dieser Standard auf unterschiedliche IT-Landschaften und IT-Systeme übertragen lässt. Überdies gibt es Datenbanken, in welchen Firmen die Einstufungen bekannter Software-Schwachstellen finden können.

Der Einsatz von Common Vulnerability Scoring Systemen lohnt sich!

Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger dominieren Nachrichten über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, welche durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirksames sowie effizientes Instrument, welches Unternehmen dabei supportet, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Unternehmen Optimierungsmöglichkeiten besser für sich zu nutzen.

Wollen auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Ansuchen zum Thema? Sprechen Sie uns an!