Definition Common Vulnerability Scoring System (CVSS)

Was ist CVSS?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Das Common Vulnerability Scoring System (CVSS) ist Standard zur Bewertung der Schwere einer Sicherheitslücke oder Verwundbarkeit von Computersystemen.
Das Common Vulnerability Scoring System (CVSS) ist Standard zur Bewertung der Schwere einer Sicherheitslücke oder Verwundbarkeit von Computersystemen. (Bild: FIRST.org)

Das Common Vulnerability Scoring System (CVSS) ist ein Standard, mit dem sich die Verwundbarkeit von Computersystemen über ein Punktesystem von 0 bis 10 einheitlich bewerten lässt. CVSS liegt aktuell in der Version 3.1 vor und kennt die Einstufungen der Verwundbarkeit "keine", "niedrig", "mittel", "hoch" und "kritisch".

Die Abkürzung CVSS steht für Common Vulnerability Scoring System. Es handelt sich um einen Standard, mit dem sich die Verwundbarkeit von Computersysteme und die Schwere von Sicherheitslücken einheitlich bewerten lässt. Die Verwundbarkeit verschiedener Systeme wird dadurch vergleichbar. Dies bietet den Vorteil, dass sich Gefährdungspotenziale besser einschätzen und Gegenmaßnahmen besser priorisieren lassen.

Die Arbeiten am CVSS begannen im Auftrag des National Infrastructure Advisory Councils (NIAC) im Jahr 2005. Das NIAC ist eine Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Heute ist das Forum of Incident Response and Security Teams (FIRST) für die Weiterentwicklung des Standards zuständig. Verschiedene Unternehmen und Organisationen wie Cisco, IBM, Microsoft oder das CERT (Computer Emergency Response Team) arbeiten an der Entwicklung mit. Im Jahr 2005 erschien die Version 3.0 des Standards. Eine wesentliche Neuerung der Version 3.0 war die Einführung der Schlüsselwörter "keine", "niedrig", "mittel", "hoch" und "kritisch" für die verschiedenen Schweregrade einer Schwachstelle. Die aktuell gültige Version ist CVSS 3.1 aus dem Jahr 2019. Diverse Hersteller haben den offenen Standard für ihre Produkte übernommen und teils eigene Anpassungen vorgenommen.

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Details des Common Vulnerability Scoring Systems

Das Common Vulnerability Scoring System ist metrisch aufgebaut und basiert auf Werten, die in die drei Gruppen "Base", "Temporal" und "Environmental" eingeteilt sind. Zur Bestimmung der Verwundbarkeitswerte hat jede Gruppe eigene Regeln. Die Werte der Basisgruppe sind zeitlich unveränderlich und bleiben in verschiedenen Umgebungen gleich. In der Temporal-Gruppe findet die Zeitabhängigkeit einer Sicherheitslücke Berücksichtigung. So sinkt die Verwundbarkeit eines Systems durch eine bestimmte Sicherheitslücke über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen wie Patches bekannt und verfügbar werden. In die Environmental-Gruppe fließen verschiedene Kriterien der spezifischen IT-Umgebungen in die Bewertung der Verwundbarkeit ein. Ein CVSS-Wert, der alle drei Gruppen berücksichtigt, benennt die Verwundbarkeit eines spezifischen Computersystems in einer bestimmten Umgebung zu einem bekannten Zeitpunkt.

Die Einstufungen des CVSS sind numerische Werte auf einer Skala von 0,0 bis 10,0. Die höchste Verwundbarkeit eines Systems ergibt sich bei einem Wert von 10,0. Seit der Version CVSS 3.0 sind die numerischen Werte zusätzlich in die vier sprechenden Schweregrade "keine", "niedrig", "mittel", "hoch" und "kritisch" eingeteilt. Die Einteilung erfolgt nach folgendem Schema:

  • keine Verwundbarkeit bei einem Wert von 0,0
  • niedrige Verwundbarkeit bei einem Wert von 0,1 bis 3,9
  • mittlere Verwundbarkeit bei einem Wert von 4,0 bis 6,9
  • hohe Verwundbarkeit bei einem Wert von 7,0 bis 8,9
  • kritische Verwundbarkeit bei einem Wert von 9,0 bis 10,0
Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

10.10.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Vorteile durch den Einsatz von CVSS

Der Einsatz des Common Vulnerability Scoring Systems bietet eine ganze Reihe Vorteile. Die zwischen verschiedenen Umgebungen und Systemen kompatible, einheitliche Bewertung einer Schwachstelle erlaubt es, Gegenmaßnahmen entsprechend dem Schweregrad der Verwundbarkeit zu priorisieren. Es existieren zudem Datenbanken, denen die Einstufungen bekannter Schwachstellen im Bedarfsfall schnell entnommen werden können. Da die Berechnung des CVSS nach öffentlich bekannten Kriterien und Regeln erfolgt, sind die ermittelten Werte transparent und nachvollziehbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

White-, Grey- und Black-Hat-Hacker unterscheiden

Ethical Hacking

White-, Grey- und Black-Hat-Hacker unterscheiden

Unter einem Hacker versteht man allgemein jemanden, der mit böser Absicht in Computer­systeme eindringt. Aber ist das immer so, oder unterscheiden sich manche Hacker auch von anderen? Gibt es vielleicht sogar so etwas wie einen Hacker-Kodex? Speziell beim Umgang mit Disclosures, also der Offenlegung von Schwachstellen, gibt es große Unterschiede. lesen

Bedrohungsanalyse in Produktionsnetzwerken

IT-Security-Management

Bedrohungsanalyse in Produktionsnetzwerken

Soll ein IT-Security-Management in der Produktion aufgebaut werden, gilt es die Bedrohungen und Risiken zu bewerten sowie wirtschaftliche Gegenmaßnahmen zu ergreifen. lesen

Verschärfte Sicherheitslage für Industrieunternehmen

Security-Trends 2019

Verschärfte Sicherheitslage für Industrieunternehmen

2018 war ein bewegtes Jahr für die IT Security in deutschen Unternehmen. Die digitale Transformation bringt eine Vielzahl neuer Technologien und Computing Plattformen hervor und damit einher gehen auch neue Risiken und Schwachstellen. Cyberkriminelle nutzen diese Sicherheitslücken immer besser aus, das beweist Malware wie WannyCry, NotPetya, Triton, Stuxnet oder Irongate. lesen

Die ganze IT-Security im Blick

Security-Startups im Blickpunkt: Cyberscan.io

Die ganze IT-Security im Blick

IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung. lesen

Oracle schließt 45 kritische Schwachstellen

Oracle Critical Patch Update Oktober 2018

Oracle schließt 45 kritische Schwachstellen

Im Oracle Critical Patch Update Oktober 2018 veröffentlicht der Softwareanbieter eine große Anzahl Patches für eine Vielzahl Produkte, auch seine Datenbank-Lösungen, inklusive MySQL. Ein großer Teil der Patches schließt gefährliche Sicherheitslücken. Admins sollten sich mit den Patches auseinandersetzen und diese so schnell wie möglich installieren. lesen

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Risikobewertung von Schwachstellen

CVSS kontra Angriffswahrscheinlichkeit

Risikobewertung von Schwachstellen

Cyberkriminalität ist zu einem Geschäftsmodell geworden, das auf maximalen Gewinn abzielt: Angreifer verwenden die gleichen Techniken mehrfach und automatisieren ihr Vorgehen, um möglichst viele Ziele erfolgreich zu erpressen. Der Fall „WannaCry“ aus dem Jahr 2017 ist das beste Beispiel hierfür. lesen

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Kontrollierte Zerstörung

Security-Startups im Blickpunkt: Crashtest Security

Kontrollierte Zerstörung

Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46064699 / Definitionen)