Sehr geehrte Leser*innen,
Software ist allgegenwärtig. Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Fernseher oder auch Autos: In sämtlichem, was uns heutzutage umgibt, spielen softwareintensive Systeme sowie Dienste eine relevante, wenn nicht die wichtigste Rolle. Insbesondere im Geschäftsumfeld stellen sie einen immer größeren Wertschöpfungsanteil dar und eröffnen ein enormes Potenzial für disruptive Neuerungen, frische Geschäftsmodelle und nachhaltiges Unternehmenswachstum.
Zur selben Zeit wird Software dank wachsender Codebasis immer komplexer – und damit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Erkennen schnellstmöglich behoben werden sollten.
Lediglich im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone zufolge, über 66.000 verifizierte Software-Schwachstellen gelistet.
Doch wie können Unternehmen und IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachstellen, diejenigen ausfindig machen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und vorrangig beseitigt werden sollten?
Die Lösung ist: Common Vulnerability Scoring System, kurz gesagt CVSS.
Was ist ein Common Vulnerability Scoring System eigentlich?
Beim Common Vulnerability Scoring System dreht es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen sowie den Schweregrad von Software-Schwachstellen mittels definierter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren beschreibt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Unternehmen in der Lage, die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, besser einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Schweregrad der Verwundbarkeit zu priorisieren.
Konzipiert wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Fachgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es, eine kostenlose und standardisierte Methode zur Abschätzung von Software-Schwachstellen zu entwerfen. Inzwischen geschieht die Fortentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.
Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Von niedrig bis kritisch!
Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mit Hilfe von drei Überprüfungen, welche als Metriken bezeichnet werden: die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
o Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Allgemeinen fügt sich die Grundmetrik aus zwei Gruppen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
o Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Mittel wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
o Die Auswirkungen-Metriken hingegen spiegeln die direkten Konsequenzen einer erfolgreichen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.
o Zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Eigenschaften einer Software-Schwachstelle wider, die sich im Zuge der Zeit, aber nicht über Benutzerumgebungen hinweg ändern kann. Demnach sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit betrachtet, weil mehr und mehr Gegenmaßnahmen wie offizielle Patches sowie Workarounds bekannt und verfügbar werden.
o Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers von Belang und einzigartig sind. Zu den Überlegungen gehören das Dasein von Sicherheitskontrollen, die etliche oder alle Konsequenzen eines erfolgreichen Internetangriffs abmildern können sowie die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Infrastruktur.
Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!
Das Common Vulnerability Scoring System definiert nicht bloß den Schweregrad von Software-Schwachstellen anhand klarer Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, wobei der Wert bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ eingeteilt worden.
Demnach heißt ein CVSS-Score
• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
• zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
• zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
• zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.
Common Vulnerability Scoring System: Die Vorteile auf einen Blick!
Der Einsatz des Common Vulnerability Scoring Systems bietet Firmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Unternehmen dabei, alle Software-Schwachstellen erstmal zu verschließen, die das größte Sicherheitsrisiko für deren IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent und einleuchtend, da die Schwachstellen-Beurteilung nach einheitlichen sowie universellen Merkmalen erfolgt. Ein weiterer Gewinn besteht darin, dass sich dieser Standard auf unterschiedliche IT-Umgebungen sowie IT-Systeme übertragen lässt. Außerdem existieren Datenbanken, in denen Firmen die Einstufungen identifizierter Software-Schwachstellen entnehmen können.
Mehr IT-Sicherheit durch Schwachstellenpriorisierung!
Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer öfter dominieren Nachrichten über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, die durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie leistungsfähiges Instrument, das Firmen dabei supportet, Prioritäten bei der Beseitigung und Reduzierung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Unternehmen Optimierungsmöglichkeiten effizienter auszuschöpfen.
Wollen auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Ansuchen zum Thema? Sprechen Sie uns an!