:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Common Vulnerability Scoring System CVSS - Rückblick, Status Quo und Ausblick
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Das Common Vulnerability Scoring System (CVSS) ist ein System zur allgemeinen Verwundbarkeitsbewertung. Es bietet Unternehmen ein Bewertungssystem zur Beurteilung der Hauptmerkmale von Sicherheitslücken und zur Berechnung eines numerischen Werts, der den jeweiligen Schweregrad angibt.
Das CVSS hat sich als überaus nützlich erwiesen, um mögliche oder tatsächliche Sicherheitslücken konsistent zu bewerten und Sicherheitsstrategien zu standardisieren. Allerdings zeigt es auch einige Schwachpunkte im Umgang mit Bedürfnissen von Benutzern, die außerhalb traditioneller IT-Umgebungen arbeiten.
Wenn sie ausreichend geschützt sind, können technische Geräte, egal ob vernetzt oder nicht, eine Vielzahl von Prozessen in der Werkhalle optimieren. Durch die Vernetzung von Geräten mit dem Industriellen Internet der Dinge (IIoT) sind Hersteller in der Lage, Daten zu den verschiedensten Zwecken zu erheben, beispielsweise zur Echtzeit-Überwachung der Produktion, zum Aufspüren von Kapazitätsengpässen, zur Optimierung des Energieverbrauchs und zur Verbesserung der prädiktiven Instandhaltung.
:quality(80)/images.vogel.de/vogelonline/bdb/1434300/1434341/original.jpg "Wer bei der großen Zahl an jährlich entdeckten Schwachstellen und Sicherheitslücken in Programmen und Geräten den Überblick behalten will, muss sich mit CVE und CVSS auskennen. (itcraftsman - stock.adobe.com)")
Common Vulnerabilities and Exposures (CVE)
CVE & Co. für Einsteiger
Allerdings ist mit der steigenden Anzahl der mit dem IIoT vernetzten Geräte auch die Tatsache verbunden, dass Hacker damit mehr Angriffspunkte haben, um Unternehmen zu infiltrieren, auf sensible Daten zuzugreifen und die Produktion zu stören. Laut dem Threat Intelligence Report, dem Bericht zur Bedrohungsanalyse von NETSCOUT, beträgt der durchschnittliche Zeitraum, der für den Angriff auf ein IIoT-Gerät notwendig ist, lediglich fünf Minuten. Das IT-Infrastrukturunternehmen SonicWall berichtet, dass Malware-Attacken auf IoT-Strukturen im Jahr 2018 sprunghaft angestiegen sind, und zwar um unglaubliche 215,7 Prozent, und dass die Häufigkeit von Cyberangriffen Erwartungen zufolge nur noch weiter ansteigen wird.
Sehen wir uns zum Beispiel eine speicherprogrammierbare Steuerung (SPS) an. Dabei handelt es sich um ein automatisiertes Entscheidungsfindungstool, das den Zustand miteinander vernetzter Geräte überwacht und Entscheidungen zur Optimierung von Verfahren trifft. Aufgrund der fortschreitenden technologischen Entwicklung sind SPS heute mit der Möglichkeit des Fernzugriffs ausgestattet, um Wartungsmaßnahmen zu vereinfachen und die Flexibilität bei der Steuerung anderer Geräte zu steigern.
Um Verfahren aus der Ferne überwachen und steuern zu können, müssen SPS mit dem Internet verbunden sein. Das jedoch macht die Technologie zu einem Angriffspunkt für Cyberattacken, die extrem schwerwiegende Konsequenzen haben können, wie das Beispiel der Explosion der sibirischen Gas-Pipeline im Jahr 1982 zeigt. Das CVSS ermöglicht Herstellern, potenzielle Sicherheitslücken ihrer SPS zu klassifizieren und sicherzustellen, dass die gefährlichsten Lücken geschlossen werden, bevor es zu einem Angriff kommt.
Die Metriken verstehen
Die erste Version des CVSS wurde vom National Infrastructure Advisory Council (NIAC) entwickelt und startete 2005 mit dem Ziel, eine kostenlose und standardisierte Methode zur Bewertung von Software-Sicherheitslücken bereitzustellen. Aktuell ist das CVSS in Version 3.1 verfügbar und besteht aus drei Metrikgruppen: aus Basis-, Zeitkontext- und Umfeld-Metrik.
Der Basis-Score, der auf einer Skala von Eins bis Zehn gemessen wird, bildet die spezifischen Eigenschaften einer Schwachstelle ab, die im Lauf der Zeit und in sämtlichen Benutzerumgebungen konstant bleiben. Diese Metrik berücksichtigt, welche Auswirkungen ein hypothetischer Angriff auf die jeweilige Sicherheitslücke haben würde.
Sie bietet außerdem Informationen dazu, wie schwierig es wäre, sich Zugriff auf die jeweilige Sicherheitslücke zu verschaffen, wie zum Beispiel das Komplexitätsniveau der erforderlichen Attacke und die notwendige Anzahl von Authentifizierungen, die für einen erfolgreiche Angriff notwendig wäre.
Der Basis-Score besteht aus zwei Sets von Messgrößen: Angreifbarkeit und Auswirkungen. Die Messgröße „Angreifbarkeit“ zeigt jene Eigenschaften der Komponente auf, die sie verwundbar machen, üblicherweise eine Software-Anwendung. Die Messgröße „Auswirkungen“ bildet die Konsequenzen eines erfolgreichen Angriffs auf die betreffende Komponente ab, bei der es sich um eine Software-Anwendung, eine Hardwareeinheit oder eine Netzwerkressource handeln kann.
Der Zeitkontext-Score gibt jene Merkmale einer Schwachstelle an, die sich im Laufe der Zeit ändern können. Er berücksichtigt das Ausmaß der zum Zeitpunkt der Messung verfügbaren Möglichkeiten zur Korrektur der Sicherheitslücke sowie den aktuellen Stand der Technik von Angriffstechnologien oder die Verfügbarkeit relevanter Software-Codes. Da sich diese Parameter drastisch verändern können, gilt dies auch für den Zeitkontext-Score.
Schließlich bietet der Umfeld-Score Analysten die Möglichkeit, den CVSS-Score abhängig von der Bedeutung des betreffenden IT-Assets für eine Organisation maßgeschneidert anzupassen. Dieser Score erlaubt es Unternehmen, das potenzielle Ausmaß von Kollateralschäden zu berechnen, die bei der erfolgreichen Ausnutzung einer Sicherheitslücke auftreten könnten. Mit anderen Worten: Hier geht es um die Auswirkungen auf andere Geräte, Menschen und Unternehmen, sollte die Sicherheitslücke entdeckt werden. Je nach Branche, in der eine Organisation agiert, kann sich dies drastisch ändern.
Die CVSS-Metrik-Sets werden üblicherweise mithilfe einer textuellen Vektorkette dargestellt, was es dem Benutzer erlaubt, die Parameter einer Schwachstelle in einem kompakten Format aufzuzeichnen.
:quality(80)/images.vogel.de/vogelonline/bdb/1441900/1441903/original.jpg "Unternehmen müssen Schwachstellen möglichst schnell patchen, sie sollten sich dabei aber zunächst auf die Sicherheitslücken konzentrieren die am wahrscheinlichsten angegriffen werden. (Pixabay)")
CVSS kontra Angriffswahrscheinlichkeit
Risikobewertung von Schwachstellen
Die Basis ist das Fundament aller Grundlagen
Basis-Scores werden üblicherweise von jenen Unternehmen bereitgestellt, die das angreifbare Produkt verkaufen und instandhalten. Meist werden lediglich die Basis-Scores veröffentlicht, da sich diese als einzige im Laufe der Zeit nicht verändern und in allen Anwendungsumgebungen gleich sind.
Basis-Scores können einen guten Ausgangspunkt für die Bewertung einer Schwachstelle darstellen, bieten jedoch nicht genügend Informationen, um sich ein klares Bild aller damit verbundener Risiken zu machen. Es kann zum Beispiel der Fall sein, dass Sie in Ihrem System eine Schwachstelle haben, die – momentan – nur sehr schwierig, ja vielleicht sogar unmöglich angegriffen werden kann. Doch in nur einem Jahr kann jemand ein Tool veröffentlicht haben, mit dem Hacker genau diese Schwachstelle problemlos für einen Angriff ausnutzen können. Außerdem berücksichtigten Basis-Scores nicht, wie viel Bedeutung einer angreifbaren Komponente im Arbeitsablauf eines bestimmten Unternehmens zukommt.
Daher sollten Organisationen diese Basis-Scores mit Zeitkontext- und Umfeld-Metrik ergänzen, um eine für ihre spezifischen Anwendungen und für ihre Branche präzisere Beurteilung zu erhalten.
Manche Unternehmen legen auch Wert auf einen individuelleren Score, indem sie Faktoren wie die Anzahl der Stammkunden einer Produktlinie, die finanziellen Verluste im Falle einer Sicherheitsverletzung und die Auswirkungen auf die öffentliche Meinung im Falle medial breitgetretener Sicherheitslücken berücksichtigen.
Einer der zentralsten Parameter, den Organisationen berücksichtigen sollten, sind die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Lebewesen. Dies wird momentan im CVSS nicht gemessen, doch für Unternehmen, die in sensiblen Branchen wie der Medizingeräteherstellung oder der Automobilbranche arbeiten, ist dies von essentieller Bedeutung.
Ohne diese Überlegungen ist es lediglich möglich, vorherzusagen, wie schlimm ein Angriff auf eine bestimmte Schwachstelle hypothetisch wäre, ohne sagen zu können, ob diese Schwachstelle nun tatsächlich Anlass zur Sorge darstellt oder nicht. Wer sich nur ausgehend von ihrem Basis-Score über eine Schwachstelle Sorgen macht, ist wie jemand, der sich über eine Krankheit lediglich in Bezug auf ihre potenzielle Tödlichkeit sorgt und nicht darüber, ob er sich in einer Situation befindet, in der er sich tatsächlich mit dieser Krankheit infizieren kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1444500/1444501/original.jpg "Ein aktueller CVE-Eintrag in der National Vulnerability Database. (https://nvd.nist.gov/vuln/detail/CVE-2018-7774)")
Common Vulnerabilities and Exposures
Die CVE-Auflistung bekannter Sicherheitslücken
Aktuelle Version und zukünftige Entwicklungen
Zurzeit ist die Special Interest Group (SIG) innerhalb des Forum of Incident Response and Security Teams (FIRST) verantwortlich für die Entwicklung und die Pflege des CVSS.
Am 17. Juni 2019 veröffentlichte FIRST die neueste Version des Beurteilungssystems, CVSS v3.1, mit dem die allgemeine Benutzerfreundlichkeit der Version 3.0 ohne die Einführung neuer Metriken verbessert werden soll. Das bedeutet, dass der Schwerpunkt der neuesten Entwicklungen eher auf Bedienkomfort und Klarheit liegt als auf substanziellen Veränderungen. So wurden beispielsweise die Definitionen im Benutzerhandbuch überarbeitet.
Die SIG, die sich aus Akademikern und Vertretern einer breiten Palette verschiedener Branchen zusammensetzt, arbeitet momentan an Verbesserungen, die für die nächste Version des CVSS-Standards ausschlaggebend sein sollen. Ausgehend von Benutzerfeedback hat die SIG bereits eine umfassende Liste potenzieller Verbesserungen zusammengestellt, die hier vollständig eingesehen werden kann.
Eine der bedeutendsten vorgeschlagenen Veränderungen ist die Möglichkeit der Unterscheidung zwischen Angriffen, die nur in speziellen Netzwerken, wie beispielsweise im unternehmensinternen Intranet, möglich sind, und Attacken, die überall im Internet gestartet werden können.
Die SIG beratschlagt auch über die Möglichkeit der Einführung neuer Metriken: Zum Beispiel die „Überlebensfähigkeit“ nach einem Angriff und die „Wormability“, also die Anfälligkeit gegenüber Computerwürmern, die zu den häufigsten und gefährlichsten Arten von Malware gehören, die bei Cyberattacken eingesetzt werden.
Eine der bedeutenden zukünftigen Herausforderungen ist nach wie vor die Quantifizierung des Schadens, den ein erfolgreicher Angriff auf eine Schwachstelle Lebewesen zufügen würde, was in Sektoren wie dem Gesundheitsbereich, der Luft- und Raumfahrt sowie der Automobilbranche früher oder später zweifelsohne geschehen wird.
Das sind nur einige der Problembereiche, die Erwartungen zufolge von der nächsten CVSS-Version in Angriff genommen werden, und Benutzer sind aufgerufen, zur kontinuierlichen Verbesserung dieses Standards beizutragen, indem sie ihre Vorschläge per E-Mail einsenden.
Für Unternehmen, und hier insbesondere für Klein- und Mittelbetriebe, ist es praktische unmöglich, alle potenziellen Sicherheitslücken sofort nach ihrer Entdeckung zu schließen. Wird neue Ausrüstung installiert und mit dem Internet verbunden, müssen Hersteller Zulieferbetriebe auswählen, bei denen Sicherheit sowohl in puncto Software als auch bei der Hardware oberste Priorität hat.
Durch gute Beziehungen zu verlässlichen Zulieferern und unterstützt durch die CVSS-Scores können Hersteller digitale Technologien zur Verbesserung ihrer Arbeitsabläufe einsetzen, ohne sich dabei zwischen Sicherheit und Digitalisierung entscheiden zu müssen.
Über den Autor: Bernhard Zwickler ist Geschäftsführer der EU Automation GmbH.
(ID:46404375)
:quality(80)/p7i.vogel.de/wcms/7e/7c/7e7c17bf9018719a0efbc6d436d490b2/0113384417.jpeg "Angreifer kombinieren immer wieder verschiedene Schwachstellen miteinander, um so Systeme zu kompromittieren und Unternehmensdaten zu stehlen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/6b/346b7e181e5f9cc3d457af30c869c826/0114532021.jpeg "Das BSI warnt: Durch eine Sicherheitslücke können Angreifer sogar über das Internet, via Port 443, auf eine FritzBox zugreifen und den Besitzer aussperren. AVM hat inzwischen ein FritzOS-Update veröffentlicht, das die Lücke schließt. (Bild: Dr. Harald Karcher)")