Das Common Vulnerability Scoring System

CVSS - Rückblick, Status Quo und Ausblick

| Autor / Redakteur: Bernhard Zwickler / Peter Schmitz

CVSS hilft Unternehmen dabei, auszuwählen, welche Sicherheitslücken das höchste Risiko für die Unternehmens-IT darstellen und deshalb mit Piorität bearbeitet werden müssen.
CVSS hilft Unternehmen dabei, auszuwählen, welche Sicherheitslücken das höchste Risiko für die Unternehmens-IT darstellen und deshalb mit Piorität bearbeitet werden müssen. (Bild: gemeinfrei / Pixabay)

Das Common Vulnerability Scoring System (CVSS) ist ein System zur allgemeinen Verwundbarkeits­bewertung. Es bietet Unternehmen ein Bewertungssystem zur Beurteilung der Hauptmerkmale von Sicherheitslücken und zur Berechnung eines numerischen Werts, der den jeweiligen Schweregrad angibt.

Das CVSS hat sich als überaus nützlich erwiesen, um mögliche oder tatsächliche Sicherheitslücken konsistent zu bewerten und Sicherheitsstrategien zu standardisieren. Allerdings zeigt es auch einige Schwachpunkte im Umgang mit Bedürfnissen von Benutzern, die außerhalb traditioneller IT-Umgebungen arbeiten.

Wenn sie ausreichend geschützt sind, können technische Geräte, egal ob vernetzt oder nicht, eine Vielzahl von Prozessen in der Werkhalle optimieren. Durch die Vernetzung von Geräten mit dem Industriellen Internet der Dinge (IIoT) sind Hersteller in der Lage, Daten zu den verschiedensten Zwecken zu erheben, beispielsweise zur Echtzeit-Überwachung der Produktion, zum Aufspüren von Kapazitätsengpässen, zur Optimierung des Energieverbrauchs und zur Verbesserung der prädiktiven Instandhaltung.

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Allerdings ist mit der steigenden Anzahl der mit dem IIoT vernetzten Geräte auch die Tatsache verbunden, dass Hacker damit mehr Angriffspunkte haben, um Unternehmen zu infiltrieren, auf sensible Daten zuzugreifen und die Produktion zu stören. Laut dem Threat Intelligence Report, dem Bericht zur Bedrohungsanalyse von NETSCOUT, beträgt der durchschnittliche Zeitraum, der für den Angriff auf ein IIoT-Gerät notwendig ist, lediglich fünf Minuten. Das IT-Infrastrukturunternehmen SonicWall berichtet, dass Malware-Attacken auf IoT-Strukturen im Jahr 2018 sprunghaft angestiegen sind, und zwar um unglaubliche 215,7 Prozent, und dass die Häufigkeit von Cyberangriffen Erwartungen zufolge nur noch weiter ansteigen wird.

Sehen wir uns zum Beispiel eine speicherprogrammierbare Steuerung (SPS) an. Dabei handelt es sich um ein automatisiertes Entscheidungsfindungstool, das den Zustand miteinander vernetzter Geräte überwacht und Entscheidungen zur Optimierung von Verfahren trifft. Aufgrund der fortschreitenden technologischen Entwicklung sind SPS heute mit der Möglichkeit des Fernzugriffs ausgestattet, um Wartungsmaßnahmen zu vereinfachen und die Flexibilität bei der Steuerung anderer Geräte zu steigern.

Um Verfahren aus der Ferne überwachen und steuern zu können, müssen SPS mit dem Internet verbunden sein. Das jedoch macht die Technologie zu einem Angriffspunkt für Cyberattacken, die extrem schwerwiegende Konsequenzen haben können, wie das Beispiel der Explosion der sibirischen Gas-Pipeline im Jahr 1982 zeigt. Das CVSS ermöglicht Herstellern, potenzielle Sicherheitslücken ihrer SPS zu klassifizieren und sicherzustellen, dass die gefährlichsten Lücken geschlossen werden, bevor es zu einem Angriff kommt.

Die Metriken verstehen

Die erste Version des CVSS wurde vom National Infrastructure Advisory Council (NIAC) entwickelt und startete 2005 mit dem Ziel, eine kostenlose und standardisierte Methode zur Bewertung von Software-Sicherheitslücken bereitzustellen. Aktuell ist das CVSS in Version 3.1 verfügbar und besteht aus drei Metrikgruppen: aus Basis-, Zeitkontext- und Umfeld-Metrik.

Der Basis-Score, der auf einer Skala von Eins bis Zehn gemessen wird, bildet die spezifischen Eigenschaften einer Schwachstelle ab, die im Lauf der Zeit und in sämtlichen Benutzerumgebungen konstant bleiben. Diese Metrik berücksichtigt, welche Auswirkungen ein hypothetischer Angriff auf die jeweilige Sicherheitslücke haben würde.

Sie bietet außerdem Informationen dazu, wie schwierig es wäre, sich Zugriff auf die jeweilige Sicherheitslücke zu verschaffen, wie zum Beispiel das Komplexitätsniveau der erforderlichen Attacke und die notwendige Anzahl von Authentifizierungen, die für einen erfolgreiche Angriff notwendig wäre.

Der Basis-Score besteht aus zwei Sets von Messgrößen: Angreifbarkeit und Auswirkungen. Die Messgröße „Angreifbarkeit“ zeigt jene Eigenschaften der Komponente auf, die sie verwundbar machen, üblicherweise eine Software-Anwendung. Die Messgröße „Auswirkungen“ bildet die Konsequenzen eines erfolgreichen Angriffs auf die betreffende Komponente ab, bei der es sich um eine Software-Anwendung, eine Hardwareeinheit oder eine Netzwerkressource handeln kann.

Der Zeitkontext-Score gibt jene Merkmale einer Schwachstelle an, die sich im Laufe der Zeit ändern können. Er berücksichtigt das Ausmaß der zum Zeitpunkt der Messung verfügbaren Möglichkeiten zur Korrektur der Sicherheitslücke sowie den aktuellen Stand der Technik von Angriffstechnologien oder die Verfügbarkeit relevanter Software-Codes. Da sich diese Parameter drastisch verändern können, gilt dies auch für den Zeitkontext-Score.

Schließlich bietet der Umfeld-Score Analysten die Möglichkeit, den CVSS-Score abhängig von der Bedeutung des betreffenden IT-Assets für eine Organisation maßgeschneidert anzupassen. Dieser Score erlaubt es Unternehmen, das potenzielle Ausmaß von Kollateralschäden zu berechnen, die bei der erfolgreichen Ausnutzung einer Sicherheitslücke auftreten könnten. Mit anderen Worten: Hier geht es um die Auswirkungen auf andere Geräte, Menschen und Unternehmen, sollte die Sicherheitslücke entdeckt werden. Je nach Branche, in der eine Organisation agiert, kann sich dies drastisch ändern.

Die CVSS-Metrik-Sets werden üblicherweise mithilfe einer textuellen Vektorkette dargestellt, was es dem Benutzer erlaubt, die Parameter einer Schwachstelle in einem kompakten Format aufzuzeichnen.

Risikobewertung von Schwachstellen

CVSS kontra Angriffswahrscheinlichkeit

Risikobewertung von Schwachstellen

19.09.18 - Cyberkriminalität ist zu einem Geschäftsmodell geworden, das auf maximalen Gewinn abzielt: Angreifer verwenden die gleichen Techniken mehrfach und automatisieren ihr Vorgehen, um möglichst viele Ziele erfolgreich zu erpressen. Der Fall „WannaCry“ aus dem Jahr 2017 ist das beste Beispiel hierfür. lesen

Die Basis ist das Fundament aller Grundlagen

Basis-Scores werden üblicherweise von jenen Unternehmen bereitgestellt, die das angreifbare Produkt verkaufen und instandhalten. Meist werden lediglich die Basis-Scores veröffentlicht, da sich diese als einzige im Laufe der Zeit nicht verändern und in allen Anwendungsumgebungen gleich sind.

Basis-Scores können einen guten Ausgangspunkt für die Bewertung einer Schwachstelle darstellen, bieten jedoch nicht genügend Informationen, um sich ein klares Bild aller damit verbundener Risiken zu machen. Es kann zum Beispiel der Fall sein, dass Sie in Ihrem System eine Schwachstelle haben, die – momentan – nur sehr schwierig, ja vielleicht sogar unmöglich angegriffen werden kann. Doch in nur einem Jahr kann jemand ein Tool veröffentlicht haben, mit dem Hacker genau diese Schwachstelle problemlos für einen Angriff ausnutzen können. Außerdem berücksichtigten Basis-Scores nicht, wie viel Bedeutung einer angreifbaren Komponente im Arbeitsablauf eines bestimmten Unternehmens zukommt.

Daher sollten Organisationen diese Basis-Scores mit Zeitkontext- und Umfeld-Metrik ergänzen, um eine für ihre spezifischen Anwendungen und für ihre Branche präzisere Beurteilung zu erhalten.

Manche Unternehmen legen auch Wert auf einen individuelleren Score, indem sie Faktoren wie die Anzahl der Stammkunden einer Produktlinie, die finanziellen Verluste im Falle einer Sicherheitsverletzung und die Auswirkungen auf die öffentliche Meinung im Falle medial breitgetretener Sicherheitslücken berücksichtigen.

Einer der zentralsten Parameter, den Organisationen berücksichtigen sollten, sind die potenziellen Auswirkungen eines erfolgreichen Angriffs auf Lebewesen. Dies wird momentan im CVSS nicht gemessen, doch für Unternehmen, die in sensiblen Branchen wie der Medizingeräteherstellung oder der Automobilbranche arbeiten, ist dies von essentieller Bedeutung.

Ohne diese Überlegungen ist es lediglich möglich, vorherzusagen, wie schlimm ein Angriff auf eine bestimmte Schwachstelle hypothetisch wäre, ohne sagen zu können, ob diese Schwachstelle nun tatsächlich Anlass zur Sorge darstellt oder nicht. Wer sich nur ausgehend von ihrem Basis-Score über eine Schwachstelle Sorgen macht, ist wie jemand, der sich über eine Krankheit lediglich in Bezug auf ihre potenzielle Tödlichkeit sorgt und nicht darüber, ob er sich in einer Situation befindet, in der er sich tatsächlich mit dieser Krankheit infizieren kann.

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

10.10.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Aktuelle Version und zukünftige Entwicklungen

Zurzeit ist die Special Interest Group (SIG) innerhalb des Forum of Incident Response and Security Teams (FIRST) verantwortlich für die Entwicklung und die Pflege des CVSS.

Am 17. Juni 2019 veröffentlichte FIRST die neueste Version des Beurteilungssystems, CVSS v3.1, mit dem die allgemeine Benutzerfreundlichkeit der Version 3.0 ohne die Einführung neuer Metriken verbessert werden soll. Das bedeutet, dass der Schwerpunkt der neuesten Entwicklungen eher auf Bedienkomfort und Klarheit liegt als auf substanziellen Veränderungen. So wurden beispielsweise die Definitionen im Benutzerhandbuch überarbeitet.

Die SIG, die sich aus Akademikern und Vertretern einer breiten Palette verschiedener Branchen zusammensetzt, arbeitet momentan an Verbesserungen, die für die nächste Version des CVSS-Standards ausschlaggebend sein sollen. Ausgehend von Benutzerfeedback hat die SIG bereits eine umfassende Liste potenzieller Verbesserungen zusammengestellt, die hier vollständig eingesehen werden kann.

Eine der bedeutendsten vorgeschlagenen Veränderungen ist die Möglichkeit der Unterscheidung zwischen Angriffen, die nur in speziellen Netzwerken, wie beispielsweise im unternehmensinternen Intranet, möglich sind, und Attacken, die überall im Internet gestartet werden können.

Die SIG beratschlagt auch über die Möglichkeit der Einführung neuer Metriken: Zum Beispiel die „Überlebensfähigkeit“ nach einem Angriff und die „Wormability“, also die Anfälligkeit gegenüber Computerwürmern, die zu den häufigsten und gefährlichsten Arten von Malware gehören, die bei Cyberattacken eingesetzt werden.

Eine der bedeutenden zukünftigen Herausforderungen ist nach wie vor die Quantifizierung des Schadens, den ein erfolgreicher Angriff auf eine Schwachstelle Lebewesen zufügen würde, was in Sektoren wie dem Gesundheitsbereich, der Luft- und Raumfahrt sowie der Automobilbranche früher oder später zweifelsohne geschehen wird.

Das sind nur einige der Problembereiche, die Erwartungen zufolge von der nächsten CVSS-Version in Angriff genommen werden, und Benutzer sind aufgerufen, zur kontinuierlichen Verbesserung dieses Standards beizutragen, indem sie ihre Vorschläge per E-Mail einsenden.

Für Unternehmen, und hier insbesondere für Klein- und Mittelbetriebe, ist es praktische unmöglich, alle potenziellen Sicherheitslücken sofort nach ihrer Entdeckung zu schließen. Wird neue Ausrüstung installiert und mit dem Internet verbunden, müssen Hersteller Zulieferbetriebe auswählen, bei denen Sicherheit sowohl in puncto Software als auch bei der Hardware oberste Priorität hat.

Durch gute Beziehungen zu verlässlichen Zulieferern und unterstützt durch die CVSS-Scores können Hersteller digitale Technologien zur Verbesserung ihrer Arbeitsabläufe einsetzen, ohne sich dabei zwischen Sicherheit und Digitalisierung entscheiden zu müssen.

Über den Autor: Bernhard Zwickler ist Geschäftsführer der EU Automation GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46404375 / Schwachstellen-Management)