:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Common Vulnerability Scoring System CVSS - Rückblick, Status Quo und Ausblick
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Common Vulnerability Scoring System (CVSS) ist ein System zur allgemeinen Verwundbarkeitsbewertung. Es bietet Unternehmen ein Bewertungssystem zur Beurteilung der Hauptmerkmale von Sicherheitslücken und zur Berechnung eines numerischen Werts, der den jeweiligen Schweregrad angibt.
Das CVSS hat sich als überaus nützlich erwiesen, um mögliche oder tatsächliche Sicherheitslücken konsistent zu bewerten und Sicherheitsstrategien zu standardisieren. Allerdings zeigt es auch einige Schwachpunkte im Umgang mit Bedürfnissen von Benutzern, die außerhalb traditioneller IT-Umgebungen arbeiten.
Wenn sie ausreichend geschützt sind, können technische Geräte, egal ob vernetzt oder nicht, eine Vielzahl von Prozessen in der Werkhalle optimieren. Durch die Vernetzung von Geräten mit dem Industriellen Internet der Dinge (IIoT) sind Hersteller in der Lage, Daten zu den verschiedensten Zwecken zu erheben, beispielsweise zur Echtzeit-Überwachung der Produktion, zum Aufspüren von Kapazitätsengpässen, zur Optimierung des Energieverbrauchs und zur Verbesserung der prädiktiven Instandhaltung.
:quality(80)/images.vogel.de/vogelonline/bdb/1434300/1434341/original.jpg "Wer bei der großen Zahl an jährlich entdeckten Schwachstellen und Sicherheitslücken in Programmen und Geräten den Überblick behalten will, muss sich mit CVE und CVSS auskennen. (itcraftsman - stock.adobe.com)")
Common Vulnerabilities and Exposures (CVE)
CVE & Co. für Einsteiger
Allerdings ist mit der steigenden Anzahl der mit dem IIoT vernetzten Geräte auch die Tatsache verbunden, dass Hacker damit mehr Angriffspunkte haben, um Unternehmen zu infiltrieren, auf sensible Daten zuzugreifen und die Produktion zu stören. Laut dem Threat Intelligence Report, dem Bericht zur Bedrohungsanalyse von NETSCOUT, beträgt der durchschnittliche Zeitraum, der für den Angriff auf ein IIoT-Gerät notwendig ist, lediglich fünf Minuten. Das IT-Infrastrukturunternehmen SonicWall berichtet, dass Malware-Attacken auf IoT-Strukturen im Jahr 2018 sprunghaft angestiegen sind, und zwar um unglaubliche 215,7 Prozent, und dass die Häufigkeit von Cyberangriffen Erwartungen zufolge nur noch weiter ansteigen wird.
Sehen wir uns zum Beispiel eine speicherprogrammierbare Steuerung (SPS) an. Dabei handelt es sich um ein automatisiertes Entscheidungsfindungstool, das den Zustand miteinander vernetzter Geräte überwacht und Entscheidungen zur Optimierung von Verfahren trifft. Aufgrund der fortschreitenden technologischen Entwicklung sind SPS heute mit der Möglichkeit des Fernzugriffs ausgestattet, um Wartungsmaßnahmen zu vereinfachen und die Flexibilität bei der Steuerung anderer Geräte zu steigern.
Um Verfahren aus der Ferne überwachen und steuern zu können, müssen SPS mit dem Internet verbunden sein. Das jedoch macht die Technologie zu einem Angriffspunkt für Cyberattacken, die extrem schwerwiegende Konsequenzen haben können, wie das Beispiel der Explosion der sibirischen Gas-Pipeline im Jahr 1982 zeigt. Das CVSS ermöglicht Herstellern, potenzielle Sicherheitslücken ihrer SPS zu klassifizieren und sicherzustellen, dass die gefährlichsten Lücken geschlossen werden, bevor es zu einem Angriff kommt.
Die Metriken verstehen
Die erste Version des CVSS wurde vom National Infrastructure Advisory Council (NIAC) entwickelt und startete 2005 mit dem Ziel, eine kostenlose und standardisierte Methode zur Bewertung von Software-Sicherheitslücken bereitzustellen. Aktuell ist das CVSS in Version 3.1 verfügbar und besteht aus drei Metrikgruppen: aus Basis-, Zeitkontext- und Umfeld-Metrik.
Der Basis-Score, der auf einer Skala von Eins bis Zehn gemessen wird, bildet die spezifischen Eigenschaften einer Schwachstelle ab, die im Lauf der Zeit und in sämtlichen Benutzerumgebungen konstant bleiben. Diese Metrik berücksichtigt, welche Auswirkungen ein hypothetischer Angriff auf die jeweilige Sicherheitslücke haben würde.
Sie bietet außerdem Informationen dazu, wie schwierig es wäre, sich Zugriff auf die jeweilige Sicherheitslücke zu verschaffen, wie zum Beispiel das Komplexitätsniveau der erforderlichen Attacke und die notwendige Anzahl von Authentifizierungen, die für einen erfolgreiche Angriff notwendig wäre.
Der Basis-Score besteht aus zwei Sets von Messgrößen: Angreifbarkeit und Auswirkungen. Die Messgröße „Angreifbarkeit“ zeigt jene Eigenschaften der Komponente auf, die sie verwundbar machen, üblicherweise eine Software-Anwendung. Die Messgröße „Auswirkungen“ bildet die Konsequenzen eines erfolgreichen Angriffs auf die betreffende Komponente ab, bei der es sich um eine Software-Anwendung, eine Hardwareeinheit oder eine Netzwerkressource handeln kann.
Der Zeitkontext-Score gibt jene Merkmale einer Schwachstelle an, die sich im Laufe der Zeit ändern können. Er berücksichtigt das Ausmaß der zum Zeitpunkt der Messung verfügbaren Möglichkeiten zur Korrektur der Sicherheitslücke sowie den aktuellen Stand der Technik von Angriffstechnologien oder die Verfügbarkeit relevanter Software-Codes. Da sich diese Parameter drastisch verändern können, gilt dies auch für den Zeitkontext-Score.
Schließlich bietet der Umfeld-Score Analysten die Möglichkeit, den CVSS-Score abhängig von der Bedeutung des betreffenden IT-Assets für eine Organisation maßgeschneidert anzupassen. Dieser Score erlaubt es Unternehmen, das potenzielle Ausmaß von Kollateralschäden zu berechnen, die bei der erfolgreichen Ausnutzung einer Sicherheitslücke auftreten könnten. Mit anderen Worten: Hier geht es um die Auswirkungen auf andere Geräte, Menschen und Unternehmen, sollte die Sicherheitslücke entdeckt werden. Je nach Branche, in der eine Organisation agiert, kann sich dies drastisch ändern.
Die CVSS-Metrik-Sets werden üblicherweise mithilfe einer textuellen Vektorkette dargestellt, was es dem Benutzer erlaubt, die Parameter einer Schwachstelle in einem kompakten Format aufzuzeichnen.
:quality(80)/images.vogel.de/vogelonline/bdb/1441900/1441903/original.jpg "Unternehmen müssen Schwachstellen möglichst schnell patchen, sie sollten sich dabei aber zunächst auf die Sicherheitslücken konzentrieren die am wahrscheinlichsten angegriffen werden. (Pixabay)")
CVSS kontra Angriffswahrscheinlichkeit
Risikobewertung von Schwachstellen
Die Basis ist das Fundament aller Grundlagen
Basis-Scores werden üblicherweise von jenen Unternehmen bereitgestellt, die das angreifbare Produkt verkaufen und instandhalten. Meist werden lediglich die Basis-Scores veröffentlicht, da sich diese als einzige im Laufe der Zeit nicht verändern und in allen Anwendungsumgebungen gleich sind.
Basis-Scores können einen guten Ausgangspunkt für die Bewertung einer Schwachstelle darstellen, bieten jedoch nicht genügend Informationen, um sich ein klares Bild aller damit verbundener Risiken zu machen. Es kann zum Beispiel der Fall sein, dass Sie in Ihrem System eine Schwachstelle haben, die – momentan – nur sehr schwierig, ja vielleicht sogar unmöglich angegriffen werden kann. Doch in nur einem Jahr kann jemand ein Tool veröffentlicht haben, mit dem Hacker genau diese Schwachstelle problemlos für einen Angriff ausnutzen können. Außerdem berücksichtigten Basis-Scores nicht, wie viel Bedeutung einer angreifbaren Komponente im Arbeitsablauf eines bestimmten Unternehmens zukommt.
Daher sollten Organisationen diese Basis-Scores mit Zeitkontext- und Umfeld-Metrik ergänzen, um eine für ihre spezifischen Anwendungen und für ihre Branche präzisere Beurteilung zu erhalten.
Manche Unternehmen legen auch Wert auf einen individuelleren Score, indem sie Faktoren wie die Anzahl der Stammkunden einer Produktlinie, die finanziellen Verluste im Falle einer Sicherheitsverletzung und die Auswirkungen auf die öffentliche Meinung im Falle medial breitgetretener Sicherheitslücken berücksichtigen.
Einer der zentralsten Parameter, den Organisationen berücksichtigen sollten, sind die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Lebewesen. Dies wird momentan im CVSS nicht gemessen, doch für Unternehmen, die in sensiblen Branchen wie der Medizingeräteherstellung oder der Automobilbranche arbeiten, ist dies von essentieller Bedeutung.
Ohne diese Überlegungen ist es lediglich möglich, vorherzusagen, wie schlimm ein Angriff auf eine bestimmte Schwachstelle hypothetisch wäre, ohne sagen zu können, ob diese Schwachstelle nun tatsächlich Anlass zur Sorge darstellt oder nicht. Wer sich nur ausgehend von ihrem Basis-Score über eine Schwachstelle Sorgen macht, ist wie jemand, der sich über eine Krankheit lediglich in Bezug auf ihre potenzielle Tödlichkeit sorgt und nicht darüber, ob er sich in einer Situation befindet, in der er sich tatsächlich mit dieser Krankheit infizieren kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1444500/1444501/original.jpg "Ein aktueller CVE-Eintrag in der National Vulnerability Database. (https://nvd.nist.gov/vuln/detail/CVE-2018-7774)")
Common Vulnerabilities and Exposures
Die CVE-Auflistung bekannter Sicherheitslücken
Aktuelle Version und zukünftige Entwicklungen
Zurzeit ist die Special Interest Group (SIG) innerhalb des Forum of Incident Response and Security Teams (FIRST) verantwortlich für die Entwicklung und die Pflege des CVSS.
Am 17. Juni 2019 veröffentlichte FIRST die neueste Version des Beurteilungssystems, CVSS v3.1, mit dem die allgemeine Benutzerfreundlichkeit der Version 3.0 ohne die Einführung neuer Metriken verbessert werden soll. Das bedeutet, dass der Schwerpunkt der neuesten Entwicklungen eher auf Bedienkomfort und Klarheit liegt als auf substanziellen Veränderungen. So wurden beispielsweise die Definitionen im Benutzerhandbuch überarbeitet.
Die SIG, die sich aus Akademikern und Vertretern einer breiten Palette verschiedener Branchen zusammensetzt, arbeitet momentan an Verbesserungen, die für die nächste Version des CVSS-Standards ausschlaggebend sein sollen. Ausgehend von Benutzerfeedback hat die SIG bereits eine umfassende Liste potenzieller Verbesserungen zusammengestellt, die hier vollständig eingesehen werden kann.
Eine der bedeutendsten vorgeschlagenen Veränderungen ist die Möglichkeit der Unterscheidung zwischen Angriffen, die nur in speziellen Netzwerken, wie beispielsweise im unternehmensinternen Intranet, möglich sind, und Attacken, die überall im Internet gestartet werden können.
Die SIG beratschlagt auch über die Möglichkeit der Einführung neuer Metriken: Zum Beispiel die „Überlebensfähigkeit“ nach einem Angriff und die „Wormability“, also die Anfälligkeit gegenüber Computerwürmern, die zu den häufigsten und gefährlichsten Arten von Malware gehören, die bei Cyberattacken eingesetzt werden.
Eine der bedeutenden zukünftigen Herausforderungen ist nach wie vor die Quantifizierung des Schadens, den ein erfolgreicher Angriff auf eine Schwachstelle Lebewesen zufügen würde, was in Sektoren wie dem Gesundheitsbereich, der Luft- und Raumfahrt sowie der Automobilbranche früher oder später zweifelsohne geschehen wird.
Das sind nur einige der Problembereiche, die Erwartungen zufolge von der nächsten CVSS-Version in Angriff genommen werden, und Benutzer sind aufgerufen, zur kontinuierlichen Verbesserung dieses Standards beizutragen, indem sie ihre Vorschläge per E-Mail einsenden.
Für Unternehmen, und hier insbesondere für Klein- und Mittelbetriebe, ist es praktische unmöglich, alle potenziellen Sicherheitslücken sofort nach ihrer Entdeckung zu schließen. Wird neue Ausrüstung installiert und mit dem Internet verbunden, müssen Hersteller Zulieferbetriebe auswählen, bei denen Sicherheit sowohl in puncto Software als auch bei der Hardware oberste Priorität hat.
Durch gute Beziehungen zu verlässlichen Zulieferern und unterstützt durch die CVSS-Scores können Hersteller digitale Technologien zur Verbesserung ihrer Arbeitsabläufe einsetzen, ohne sich dabei zwischen Sicherheit und Digitalisierung entscheiden zu müssen.
Über den Autor: Bernhard Zwickler ist Geschäftsführer der EU Automation GmbH.
(ID:46404375)