:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Common Vulnerability Scoring System (CVSS) Was ist CVSS?
Das Common Vulnerability Scoring System (CVSS) ist ein Standard, mit dem sich die Verwundbarkeit von Computersystemen über ein Punktesystem von 0 bis 10 einheitlich bewerten lässt. CVSS liegt aktuell in der Version 3.1 vor und kennt die Einstufungen der Verwundbarkeit "keine", "niedrig", "mittel", "hoch" und "kritisch".
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Abkürzung CVSS steht für Common Vulnerability Scoring System. Es handelt sich um einen Standard, mit dem sich die Verwundbarkeit von Computersysteme und die Schwere von Sicherheitslücken einheitlich bewerten lässt. Die Verwundbarkeit verschiedener Systeme wird dadurch vergleichbar. Dies bietet den Vorteil, dass sich Gefährdungspotenziale besser einschätzen und Gegenmaßnahmen besser priorisieren lassen.
Die Arbeiten am CVSS begannen im Auftrag des National Infrastructure Advisory Councils (NIAC) im Jahr 2005. Das NIAC ist eine Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Heute ist das Forum of Incident Response and Security Teams (FIRST) für die Weiterentwicklung des Standards zuständig. Verschiedene Unternehmen und Organisationen wie Cisco, IBM, Microsoft oder das CERT (Computer Emergency Response Team) arbeiten an der Entwicklung mit. Im Jahr 2005 erschien die Version 3.0 des Standards. Eine wesentliche Neuerung der Version 3.0 war die Einführung der Schlüsselwörter "keine", "niedrig", "mittel", "hoch" und "kritisch" für die verschiedenen Schweregrade einer Schwachstelle. Die aktuell gültige Version ist CVSS 3.1 aus dem Jahr 2019. Diverse Hersteller haben den offenen Standard für ihre Produkte übernommen und teils eigene Anpassungen vorgenommen.
:quality(80)/images.vogel.de/vogelonline/bdb/1434300/1434341/original.jpg "Wer bei der großen Zahl an jährlich entdeckten Schwachstellen und Sicherheitslücken in Programmen und Geräten den Überblick behalten will, muss sich mit CVE und CVSS auskennen. (itcraftsman - stock.adobe.com)")
Common Vulnerabilities and Exposures (CVE)
CVE & Co. für Einsteiger
Details des Common Vulnerability Scoring Systems
Das Common Vulnerability Scoring System ist metrisch aufgebaut und basiert auf Werten, die in die drei Gruppen "Base", "Temporal" und "Environmental" eingeteilt sind. Zur Bestimmung der Verwundbarkeitswerte hat jede Gruppe eigene Regeln. Die Werte der Basisgruppe sind zeitlich unveränderlich und bleiben in verschiedenen Umgebungen gleich. In der Temporal-Gruppe findet die Zeitabhängigkeit einer Sicherheitslücke Berücksichtigung. So sinkt die Verwundbarkeit eines Systems durch eine bestimmte Sicherheitslücke über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen wie Patches bekannt und verfügbar werden. In die Environmental-Gruppe fließen verschiedene Kriterien der spezifischen IT-Umgebungen in die Bewertung der Verwundbarkeit ein. Ein CVSS-Wert, der alle drei Gruppen berücksichtigt, benennt die Verwundbarkeit eines spezifischen Computersystems in einer bestimmten Umgebung zu einem bekannten Zeitpunkt.
Die Einstufungen des CVSS sind numerische Werte auf einer Skala von 0,0 bis 10,0. Die höchste Verwundbarkeit eines Systems ergibt sich bei einem Wert von 10,0. Seit der Version CVSS 3.0 sind die numerischen Werte zusätzlich in die vier sprechenden Schweregrade "keine", "niedrig", "mittel", "hoch" und "kritisch" eingeteilt. Die Einteilung erfolgt nach folgendem Schema:
- keine Verwundbarkeit bei einem Wert von 0,0
- niedrige Verwundbarkeit bei einem Wert von 0,1 bis 3,9
- mittlere Verwundbarkeit bei einem Wert von 4,0 bis 6,9
- hohe Verwundbarkeit bei einem Wert von 7,0 bis 8,9
- kritische Verwundbarkeit bei einem Wert von 9,0 bis 10,0
:quality(80)/images.vogel.de/vogelonline/bdb/1444500/1444501/original.jpg "Ein aktueller CVE-Eintrag in der National Vulnerability Database. (https://nvd.nist.gov/vuln/detail/CVE-2018-7774)")
Common Vulnerabilities and Exposures
Die CVE-Auflistung bekannter Sicherheitslücken
Vorteile durch den Einsatz von CVSS
Der Einsatz des Common Vulnerability Scoring Systems bietet eine ganze Reihe Vorteile. Die zwischen verschiedenen Umgebungen und Systemen kompatible, einheitliche Bewertung einer Schwachstelle erlaubt es, Gegenmaßnahmen entsprechend dem Schweregrad der Verwundbarkeit zu priorisieren. Es existieren zudem Datenbanken, denen die Einstufungen bekannter Schwachstellen im Bedarfsfall schnell entnommen werden können. Da die Berechnung des CVSS nach öffentlich bekannten Kriterien und Regeln erfolgt, sind die ermittelten Werte transparent und nachvollziehbar.
(ID:46064699)
:quality(80)/images.vogel.de/vogelonline/bdb/1928900/1928950/original.jpg "IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1950200/1950260/original.jpg "Für zwei der Sicherheitslücken, die Microsoft zum April-Patchday 2022 schließt, sind Exploits für Windows schon öffentlich bekannt und werden bereits ausgenutzt! (Microsoft)")