Das Common Vulnerability Scoring System CVSS - Rückblick, Status Quo und Ausblick

Von Bernhard Zwickler |

Anbieter zum Thema

Das Common Vulnerability Scoring System (CVSS) ist ein System zur allgemeinen Verwundbarkeits­bewertung. Es bietet Unternehmen ein Bewertungssystem zur Beurteilung der Hauptmerkmale von Sicherheitslücken und zur Berechnung eines numerischen Werts, der den jeweiligen Schweregrad angibt.

CVSS hilft Unternehmen dabei, auszuwählen, welche Sicherheitslücken das höchste Risiko für die Unternehmens-IT darstellen und deshalb mit Piorität bearbeitet werden müssen.
CVSS hilft Unternehmen dabei, auszuwählen, welche Sicherheitslücken das höchste Risiko für die Unternehmens-IT darstellen und deshalb mit Piorität bearbeitet werden müssen.
(Bild: gemeinfrei / Pixabay)

Das CVSS hat sich als überaus nützlich erwiesen, um mögliche oder tatsächliche Sicherheitslücken konsistent zu bewerten und Sicherheitsstrategien zu standardisieren. Allerdings zeigt es auch einige Schwachpunkte im Umgang mit Bedürfnissen von Benutzern, die außerhalb traditioneller IT-Umgebungen arbeiten.

Wenn sie ausreichend geschützt sind, können technische Geräte, egal ob vernetzt oder nicht, eine Vielzahl von Prozessen in der Werkhalle optimieren. Durch die Vernetzung von Geräten mit dem Industriellen Internet der Dinge (IIoT) sind Hersteller in der Lage, Daten zu den verschiedensten Zwecken zu erheben, beispielsweise zur Echtzeit-Überwachung der Produktion, zum Aufspüren von Kapazitätsengpässen, zur Optimierung des Energieverbrauchs und zur Verbesserung der prädiktiven Instandhaltung.

Allerdings ist mit der steigenden Anzahl der mit dem IIoT vernetzten Geräte auch die Tatsache verbunden, dass Hacker damit mehr Angriffspunkte haben, um Unternehmen zu infiltrieren, auf sensible Daten zuzugreifen und die Produktion zu stören. Laut dem Threat Intelligence Report, dem Bericht zur Bedrohungsanalyse von NETSCOUT, beträgt der durchschnittliche Zeitraum, der für den Angriff auf ein IIoT-Gerät notwendig ist, lediglich fünf Minuten. Das IT-Infrastrukturunternehmen SonicWall berichtet, dass Malware-Attacken auf IoT-Strukturen im Jahr 2018 sprunghaft angestiegen sind, und zwar um unglaubliche 215,7 Prozent, und dass die Häufigkeit von Cyberangriffen Erwartungen zufolge nur noch weiter ansteigen wird.

Sehen wir uns zum Beispiel eine speicherprogrammierbare Steuerung (SPS) an. Dabei handelt es sich um ein automatisiertes Entscheidungsfindungstool, das den Zustand miteinander vernetzter Geräte überwacht und Entscheidungen zur Optimierung von Verfahren trifft. Aufgrund der fortschreitenden technologischen Entwicklung sind SPS heute mit der Möglichkeit des Fernzugriffs ausgestattet, um Wartungsmaßnahmen zu vereinfachen und die Flexibilität bei der Steuerung anderer Geräte zu steigern.

Um Verfahren aus der Ferne überwachen und steuern zu können, müssen SPS mit dem Internet verbunden sein. Das jedoch macht die Technologie zu einem Angriffspunkt für Cyberattacken, die extrem schwerwiegende Konsequenzen haben können, wie das Beispiel der Explosion der sibirischen Gas-Pipeline im Jahr 1982 zeigt. Das CVSS ermöglicht Herstellern, potenzielle Sicherheitslücken ihrer SPS zu klassifizieren und sicherzustellen, dass die gefährlichsten Lücken geschlossen werden, bevor es zu einem Angriff kommt.

Die Metriken verstehen

Die erste Version des CVSS wurde vom National Infrastructure Advisory Council (NIAC) entwickelt und startete 2005 mit dem Ziel, eine kostenlose und standardisierte Methode zur Bewertung von Software-Sicherheitslücken bereitzustellen. Aktuell ist das CVSS in Version 3.1 verfügbar und besteht aus drei Metrikgruppen: aus Basis-, Zeitkontext- und Umfeld-Metrik.

Der Basis-Score, der auf einer Skala von Eins bis Zehn gemessen wird, bildet die spezifischen Eigenschaften einer Schwachstelle ab, die im Lauf der Zeit und in sämtlichen Benutzerumgebungen konstant bleiben. Diese Metrik berücksichtigt, welche Auswirkungen ein hypothetischer Angriff auf die jeweilige Sicherheitslücke haben würde.

Sie bietet außerdem Informationen dazu, wie schwierig es wäre, sich Zugriff auf die jeweilige Sicherheitslücke zu verschaffen, wie zum Beispiel das Komplexitätsniveau der erforderlichen Attacke und die notwendige Anzahl von Authentifizierungen, die für einen erfolgreiche Angriff notwendig wäre.

Der Basis-Score besteht aus zwei Sets von Messgrößen: Angreifbarkeit und Auswirkungen. Die Messgröße „Angreifbarkeit“ zeigt jene Eigenschaften der Komponente auf, die sie verwundbar machen, üblicherweise eine Software-Anwendung. Die Messgröße „Auswirkungen“ bildet die Konsequenzen eines erfolgreichen Angriffs auf die betreffende Komponente ab, bei der es sich um eine Software-Anwendung, eine Hardwareeinheit oder eine Netzwerkressource handeln kann.

Der Zeitkontext-Score gibt jene Merkmale einer Schwachstelle an, die sich im Laufe der Zeit ändern können. Er berücksichtigt das Ausmaß der zum Zeitpunkt der Messung verfügbaren Möglichkeiten zur Korrektur der Sicherheitslücke sowie den aktuellen Stand der Technik von Angriffstechnologien oder die Verfügbarkeit relevanter Software-Codes. Da sich diese Parameter drastisch verändern können, gilt dies auch für den Zeitkontext-Score.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Schließlich bietet der Umfeld-Score Analysten die Möglichkeit, den CVSS-Score abhängig von der Bedeutung des betreffenden IT-Assets für eine Organisation maßgeschneidert anzupassen. Dieser Score erlaubt es Unternehmen, das potenzielle Ausmaß von Kollateralschäden zu berechnen, die bei der erfolgreichen Ausnutzung einer Sicherheitslücke auftreten könnten. Mit anderen Worten: Hier geht es um die Auswirkungen auf andere Geräte, Menschen und Unternehmen, sollte die Sicherheitslücke entdeckt werden. Je nach Branche, in der eine Organisation agiert, kann sich dies drastisch ändern.

Die CVSS-Metrik-Sets werden üblicherweise mithilfe einer textuellen Vektorkette dargestellt, was es dem Benutzer erlaubt, die Parameter einer Schwachstelle in einem kompakten Format aufzuzeichnen.

Die Basis ist das Fundament aller Grundlagen

Basis-Scores werden üblicherweise von jenen Unternehmen bereitgestellt, die das angreifbare Produkt verkaufen und instandhalten. Meist werden lediglich die Basis-Scores veröffentlicht, da sich diese als einzige im Laufe der Zeit nicht verändern und in allen Anwendungsumgebungen gleich sind.

Basis-Scores können einen guten Ausgangspunkt für die Bewertung einer Schwachstelle darstellen, bieten jedoch nicht genügend Informationen, um sich ein klares Bild aller damit verbundener Risiken zu machen. Es kann zum Beispiel der Fall sein, dass Sie in Ihrem System eine Schwachstelle haben, die – momentan – nur sehr schwierig, ja vielleicht sogar unmöglich angegriffen werden kann. Doch in nur einem Jahr kann jemand ein Tool veröffentlicht haben, mit dem Hacker genau diese Schwachstelle problemlos für einen Angriff ausnutzen können. Außerdem berücksichtigten Basis-Scores nicht, wie viel Bedeutung einer angreifbaren Komponente im Arbeitsablauf eines bestimmten Unternehmens zukommt.

Daher sollten Organisationen diese Basis-Scores mit Zeitkontext- und Umfeld-Metrik ergänzen, um eine für ihre spezifischen Anwendungen und für ihre Branche präzisere Beurteilung zu erhalten.

Manche Unternehmen legen auch Wert auf einen individuelleren Score, indem sie Faktoren wie die Anzahl der Stammkunden einer Produktlinie, die finanziellen Verluste im Falle einer Sicherheitsverletzung und die Auswirkungen auf die öffentliche Meinung im Falle medial breitgetretener Sicherheitslücken berücksichtigen.

Einer der zentralsten Parameter, den Organisationen berücksichtigen sollten, sind die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Lebewesen. Dies wird momentan im CVSS nicht gemessen, doch für Unternehmen, die in sensiblen Branchen wie der Medizingeräteherstellung oder der Automobilbranche arbeiten, ist dies von essentieller Bedeutung.

Ohne diese Überlegungen ist es lediglich möglich, vorherzusagen, wie schlimm ein Angriff auf eine bestimmte Schwachstelle hypothetisch wäre, ohne sagen zu können, ob diese Schwachstelle nun tatsächlich Anlass zur Sorge darstellt oder nicht. Wer sich nur ausgehend von ihrem Basis-Score über eine Schwachstelle Sorgen macht, ist wie jemand, der sich über eine Krankheit lediglich in Bezug auf ihre potenzielle Tödlichkeit sorgt und nicht darüber, ob er sich in einer Situation befindet, in der er sich tatsächlich mit dieser Krankheit infizieren kann.

Aktuelle Version und zukünftige Entwicklungen

Zurzeit ist die Special Interest Group (SIG) innerhalb des Forum of Incident Response and Security Teams (FIRST) verantwortlich für die Entwicklung und die Pflege des CVSS.

Am 17. Juni 2019 veröffentlichte FIRST die neueste Version des Beurteilungssystems, CVSS v3.1, mit dem die allgemeine Benutzerfreundlichkeit der Version 3.0 ohne die Einführung neuer Metriken verbessert werden soll. Das bedeutet, dass der Schwerpunkt der neuesten Entwicklungen eher auf Bedienkomfort und Klarheit liegt als auf substanziellen Veränderungen. So wurden beispielsweise die Definitionen im Benutzerhandbuch überarbeitet.

Die SIG, die sich aus Akademikern und Vertretern einer breiten Palette verschiedener Branchen zusammensetzt, arbeitet momentan an Verbesserungen, die für die nächste Version des CVSS-Standards ausschlaggebend sein sollen. Ausgehend von Benutzerfeedback hat die SIG bereits eine umfassende Liste potenzieller Verbesserungen zusammengestellt, die hier vollständig eingesehen werden kann.

Eine der bedeutendsten vorgeschlagenen Veränderungen ist die Möglichkeit der Unterscheidung zwischen Angriffen, die nur in speziellen Netzwerken, wie beispielsweise im unternehmensinternen Intranet, möglich sind, und Attacken, die überall im Internet gestartet werden können.

Die SIG beratschlagt auch über die Möglichkeit der Einführung neuer Metriken: Zum Beispiel die „Überlebensfähigkeit“ nach einem Angriff und die „Wormability“, also die Anfälligkeit gegenüber Computerwürmern, die zu den häufigsten und gefährlichsten Arten von Malware gehören, die bei Cyberattacken eingesetzt werden.

Eine der bedeutenden zukünftigen Herausforderungen ist nach wie vor die Quantifizierung des Schadens, den ein erfolgreicher Angriff auf eine Schwachstelle Lebewesen zufügen würde, was in Sektoren wie dem Gesundheitsbereich, der Luft- und Raumfahrt sowie der Automobilbranche früher oder später zweifelsohne geschehen wird.

Das sind nur einige der Problembereiche, die Erwartungen zufolge von der nächsten CVSS-Version in Angriff genommen werden, und Benutzer sind aufgerufen, zur kontinuierlichen Verbesserung dieses Standards beizutragen, indem sie ihre Vorschläge per E-Mail einsenden.

Für Unternehmen, und hier insbesondere für Klein- und Mittelbetriebe, ist es praktische unmöglich, alle potenziellen Sicherheitslücken sofort nach ihrer Entdeckung zu schließen. Wird neue Ausrüstung installiert und mit dem Internet verbunden, müssen Hersteller Zulieferbetriebe auswählen, bei denen Sicherheit sowohl in puncto Software als auch bei der Hardware oberste Priorität hat.

Durch gute Beziehungen zu verlässlichen Zulieferern und unterstützt durch die CVSS-Scores können Hersteller digitale Technologien zur Verbesserung ihrer Arbeitsabläufe einsetzen, ohne sich dabei zwischen Sicherheit und Digitalisierung entscheiden zu müssen.

Über den Autor: Bernhard Zwickler ist Geschäftsführer der EU Automation GmbH.

(ID:46404375)