Suchen

Definition Common Vulnerability Scoring System (CVSS) Was ist CVSS?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Das Common Vulnerability Scoring System (CVSS) ist ein Standard, mit dem sich die Verwundbarkeit von Computersystemen über ein Punktesystem von 0 bis 10 einheitlich bewerten lässt. CVSS liegt aktuell in der Version 3.1 vor und kennt die Einstufungen der Verwundbarkeit "keine", "niedrig", "mittel", "hoch" und "kritisch".

Firma zum Thema

Das Common Vulnerability Scoring System (CVSS) ist Standard zur Bewertung der Schwere einer Sicherheitslücke oder Verwundbarkeit von Computersystemen.
Das Common Vulnerability Scoring System (CVSS) ist Standard zur Bewertung der Schwere einer Sicherheitslücke oder Verwundbarkeit von Computersystemen.
(Bild: FIRST.org)

Die Abkürzung CVSS steht für Common Vulnerability Scoring System. Es handelt sich um einen Standard, mit dem sich die Verwundbarkeit von Computersysteme und die Schwere von Sicherheitslücken einheitlich bewerten lässt. Die Verwundbarkeit verschiedener Systeme wird dadurch vergleichbar. Dies bietet den Vorteil, dass sich Gefährdungspotenziale besser einschätzen und Gegenmaßnahmen besser priorisieren lassen.

Die Arbeiten am CVSS begannen im Auftrag des National Infrastructure Advisory Councils (NIAC) im Jahr 2005. Das NIAC ist eine Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Heute ist das Forum of Incident Response and Security Teams (FIRST) für die Weiterentwicklung des Standards zuständig. Verschiedene Unternehmen und Organisationen wie Cisco, IBM, Microsoft oder das CERT (Computer Emergency Response Team) arbeiten an der Entwicklung mit. Im Jahr 2005 erschien die Version 3.0 des Standards. Eine wesentliche Neuerung der Version 3.0 war die Einführung der Schlüsselwörter "keine", "niedrig", "mittel", "hoch" und "kritisch" für die verschiedenen Schweregrade einer Schwachstelle. Die aktuell gültige Version ist CVSS 3.1 aus dem Jahr 2019. Diverse Hersteller haben den offenen Standard für ihre Produkte übernommen und teils eigene Anpassungen vorgenommen.

Details des Common Vulnerability Scoring Systems

Das Common Vulnerability Scoring System ist metrisch aufgebaut und basiert auf Werten, die in die drei Gruppen "Base", "Temporal" und "Environmental" eingeteilt sind. Zur Bestimmung der Verwundbarkeitswerte hat jede Gruppe eigene Regeln. Die Werte der Basisgruppe sind zeitlich unveränderlich und bleiben in verschiedenen Umgebungen gleich. In der Temporal-Gruppe findet die Zeitabhängigkeit einer Sicherheitslücke Berücksichtigung. So sinkt die Verwundbarkeit eines Systems durch eine bestimmte Sicherheitslücke über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen wie Patches bekannt und verfügbar werden. In die Environmental-Gruppe fließen verschiedene Kriterien der spezifischen IT-Umgebungen in die Bewertung der Verwundbarkeit ein. Ein CVSS-Wert, der alle drei Gruppen berücksichtigt, benennt die Verwundbarkeit eines spezifischen Computersystems in einer bestimmten Umgebung zu einem bekannten Zeitpunkt.

Die Einstufungen des CVSS sind numerische Werte auf einer Skala von 0,0 bis 10,0. Die höchste Verwundbarkeit eines Systems ergibt sich bei einem Wert von 10,0. Seit der Version CVSS 3.0 sind die numerischen Werte zusätzlich in die vier sprechenden Schweregrade "keine", "niedrig", "mittel", "hoch" und "kritisch" eingeteilt. Die Einteilung erfolgt nach folgendem Schema:

  • keine Verwundbarkeit bei einem Wert von 0,0
  • niedrige Verwundbarkeit bei einem Wert von 0,1 bis 3,9
  • mittlere Verwundbarkeit bei einem Wert von 4,0 bis 6,9
  • hohe Verwundbarkeit bei einem Wert von 7,0 bis 8,9
  • kritische Verwundbarkeit bei einem Wert von 9,0 bis 10,0

Vorteile durch den Einsatz von CVSS

Der Einsatz des Common Vulnerability Scoring Systems bietet eine ganze Reihe Vorteile. Die zwischen verschiedenen Umgebungen und Systemen kompatible, einheitliche Bewertung einer Schwachstelle erlaubt es, Gegenmaßnahmen entsprechend dem Schweregrad der Verwundbarkeit zu priorisieren. Es existieren zudem Datenbanken, denen die Einstufungen bekannter Schwachstellen im Bedarfsfall schnell entnommen werden können. Da die Berechnung des CVSS nach öffentlich bekannten Kriterien und Regeln erfolgt, sind die ermittelten Werte transparent und nachvollziehbar.

(ID:46064699)

Über den Autor