CyberInsights
Der Blog rund um
Ihre Datensicherheit

CVSS: IT-Schwachstellen kennen und Risiken richtig einschätzen

DGC-CyberInsights-CVSS

Die zunehmende Vernetzung und das steigende Angebot an digitalen Möglichkeiten führen dazu, dass die Sicherheitsanforderungen an IT-Systeme immer komplexer werden. Das standardisierte Common Vulnerability Scoring System (CVSS) unterstützt Unternehmen dabei, den Schweregrad von IT-Schwachstellen zu bewerten. Wir zeigen Ihnen, wie das CVSS-Bewertungssystem funktioniert und erklären, weshalb das von Schwachstellen ausgehende Risiko für jedes Unternehmen individuell eingeschätzt werden sollte.

CVSS: Das Common Vulnerability Scoring System

Mit dem Common Vulnerability Scoring System lässt sich anhand bestimmter Faktoren messen, wie verwundbar ein IT-System ist. Entworfen wurde es 2005 von einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, der National Infrastructure Advisory Council (NIAC). Seitdem wird das CVSS stetig und in Kooperation mit großen Unternehmen und Organisationen aus dem IT-Bereich weiterentwickelt und hat sich als fester Standard etabliert.

So funktioniert das CVSS

Mittels eines einheitlichen Punktesystems, aufsteigend von „keiner”, „niedriger”, „mittlerer” bis zu „hoher” und „kritischer” Verwundbarkeit, können Unternehmen mit dem Common Vulnerability Scoring System Sicherheitslücken in ihrer IT-Landschaft bewerten und diese den unterschiedlichen Kategorien zuordnen. Festgelegte Maßstäbe und Kriterien dienen dazu, neben der Einstufung auch den Schweregrad der Lücken zu bestimmen – je nach Bereich, in dem eine Sicherheitslücke ausfindig gemacht wird, dient das CVSS hierbei als standardisierter Richtwert und muss entsprechend auf die Begebenheiten bezogen werden. Neben dem Schweregrad lässt sich mit dem CVSS auch die anzunehmende Wahrscheinlichkeit, dass es aufgrund dieser Lücken zu einem Cyberangriff kommt, messen. Werden alle Faktoren in die Berechnung mit einbezogen, kann über das CVSS außerdem die potenzielle Höhe des Schadens ermittelt werden. So erhalten Unternehmen einen genauen Überblick über Risikofaktoren in ihren Computersystemen, können die jeweilige Verwundbarkeit miteinander vergleichen und anschließend Sicherheitsmaßnahmen ableiten. Optimierungspotenziale werden auf diese Weise effizient ausgeschöpft.

CVE vs. CVSS: Benennung und Bewertung

Während mit dem CVSS Risikofaktoren im IT-Bereich bewertet werden können, wird das Common Vulnerabilities and Exposure (CVE) genutzt, um bekannte Schwachstellen und Sicherheitslücken eines Systems oder Produkts eindeutig zu benennen. Mit einem festgelegten Muster sorgt das CVE-System dafür, dass es bei der Benennung der Gefahren zu keinen Dopplungen oder Verwechslungen kommt. Der Name setzt sich dabei aus dem Kürzel CVE, der Jahreszahl, in der das Problem entdeckt wird, sowie einer fortlaufenden Nummer zur genauen Identifizierung der Schwachstelle zusammen. Beispielsweise lautet das Kürzel der kürzlich bekannt gewordenen kritischen Log4j- Schwachstelle: CVE-2021-44228.

Jeder gemeldeten Schwachstelle wird eine eindeutige Identifikationsnummer zugeordnet, um die Anwender über mögliche Risiken aufzuklären und die Sicherheitslücke zu katalogisieren. Die Anzahl der Schwachstellen sagt jedoch nichts über die Qualität der Produkte aus, zumal große Hersteller in der Regel eine Vielzahl an Angeboten haben und somit auch die Wahrscheinlichkeit für Schwachstellen steigt. CVSS und CVE stehen somit in keinem direkten Zusammenhang miteinander und können unabhängig eingesetzt werden.

Berechnung des CVSS-Scores

Um festzustellen, wie schwer der Grad einer Schwachstelle wiegt und wie hoch der CVSS-Score entsprechend ausfällt, müssen bei der Berechnung verschiedene Kriterien berücksichtigt werden. Der Score besteht im Grunde aus drei Hauptkategorien: Base Score, Temporal Score und Environmental Score. Die Gruppen setzen sich dabei aus verschiedenen Werten zusammen, wie beispielsweise Integrität oder Verfügbarkeit. Die Kategorien können sich gegenseitig beeinflussen und müssen je nach Unternehmensumgebung und zeitlicher Entwicklung angepasst werden. Für jeden Indikator gibt es vorgefertigte Wahlmöglichkeiten, die im Gesamtbild einen Score zwischen 0 und 10 ergeben, wobei 0 kein Risiko und 10 ein hohes Risiko beschreibt.

1. CVSS Base Score: Gefährdungspotenzial berechnen

Der Base Score beschreibt, wie gefährlich eine IT-Sicherheitslücke ist und wie hoch das Potenzial ist, dass diese für Cyberangriffe ausgenutzt werden kann. Zur Berechnung werden die grundlegenden technischen Merkmale einer Schwachstelle herangezogen: Die Exploitability-Metriken beschreiben zum Beispiel, unter welchen Voraussetzungen ein Angriff erfolgen kann. Mit den Impact-Metriken lässt sich dagegen das Ausmaß eines Schadens ermitteln. Mit der Scope-Metrik wird festgehalten, ob ein Angriff Auswirkungen auf Bestandteile weiterer Systeme hat. Der Base Score wird für jede Schwachstelle einmal festgelegt – in der Regel von der Person, die die Schwachstelle entdeckt, dem Hersteller des Produkts oder IT-Fachkräften.

2. CVSS Temporal Score: Schwachstellen identifizieren

Der Temporal Score fasst zeitliche Veränderungen zusammen, die Einfluss auf die Gefährdung durch bestimmte Sicherheitslücken haben können. Der Temporal Score kann sich zum Beispiel erhöhen, wenn mit der Exploitability Code Maturity festgehalten wird, ab wann eine zuvor nur beschriebene Schwachstelle tatsächlich auftritt. Über die Report Confidence bestätigen Hersteller diese Schwachstelle offiziell und benennen sie anhand einer eindeutigen CVE-ID. Um den Temporal Score positiv zu beeinflussen, stellen viele Hersteller zusätzlich einen Fix zur Behebung des Problems zur Verfügung und senken somit das Remediation Level, einer der drei Werte des Temporal Scores, herab.

3. CVSS Enviromental Score: IT-Sicherheit erhöhen

Mit dem Environmental Score lassen sich die Werte konkret an die eigene IT-Architektur und Systemumgebung anpassen. Dafür ist es wichtig im Vorfeld zu analysieren, welche Systeme für einen störungsfreien Betrieb dringend notwendig sind. Diese werden in der Berechnung als relevante Faktoren berücksichtigt. Dafür werden die bereits im Base Score thematisierten IT-Schutzziele herangezogen: Welche Maßnahmen sind notwendig und bereits im Einsatz, um die eigene IT-Sicherheit zu erhöhen und vertrauliche Informationen zu schützen? Je nachdem, wie stark die Schutzziele durch einen Cyberangriff verletzt werden könnten, erhöht sich der CVSS-Score oder kann nachträglich abgesenkt werden.

CVSS-Bewertung und Risiken richtig einschätzen

Nachdem die CVSS-Scores zur Bewertung des eigenen Sicherheitslevels herangezogen wurden, lassen sich diese zu einem Gesamt-Score verrechnen. Viele Unternehmen sehen die aufgeführten Ergebnisse als wichtigste Handlungsgrundlage für das eigene IT-Risikomanagement. Dabei sollten die davon ausgehenden Gefahren für jedes Unternehmen individuell eingeschätzt werden. In der Praxis zeigt sich immer wieder, dass etwa eine Schwachstelle der mittleren Gefahrenkategorie (Kritikalität) besonders riskant für ein bestimmtes Unternehmen sein kann und daher bevorzugt behandelt werden sollte.

Spezialisierte Dienstleister wie die Deutsche Gesellschaft für Cybersicherheit stellen das für diese Einschätzung notwendige Know-how bereit und unterstützen mit einer maßgeschneiderten Sicherheitsberatung sowie einer umfassenden Angriffsüberwachung und -abwehr. Die Sicherheitsexperten im sogenannten Cyber Defense Operations Center (CDOC) beobachten mit Hilfe des Schwachstellenscanners cyberscan.io® täglich diverse Quellen und zeigen auf, welche Schwachstellen es umgehend zu beheben gilt und welche Priorität weiteren Schwachstellenmeldungen beigemessen werden sollte. So haben Unternehmen die Leistungsfähigkeit ihrer Systeme stets im Blick, erkennen Risiken frühzeitig und können ihre Daten proaktiv vor Gefahren aus dem Netz schützen.

Wenn Sie Fragen zu dem Thema haben oder mehr über unsere Leistungen und Lösungen erfahren möchten, stehen wir Ihnen über unser Kontaktformular jederzeit zur Verfügung.

Folgen Sie uns auf