Softwareschwachstellen bewerten

CVSS: Software-Schwachstellen effektiv managen!

Software-Schwachstellen sind immer mehr ein globales wie auch kollektives Problem der IT-Sicherheit. Firmen sind dazu angehalten, diese nach dem Erkennen schnellstmöglich zu schließen. Dabei sollten sie sich aber zunächst einmal auf die Software-Schwachpunkte mit dem größten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System ist hilfreich bei der Einschätzung und Bewertung und eignet sich somit als Orientierung. Wie das Common Vulnerability Scoring System im Detail funktioniert und warum es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, einzeln zu ermessen, verraten wir Ihnen im nachfolgenden Beitrag.

Software ist allgegenwärtig.

Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Fernseher oder KFZs: In sämtlichem, was uns heutzutage umgibt, spielen softwareintensive Systeme sowie Dienste eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Innovationen, frische Geschäftsmodelle und nachhaltiges Unternehmenswachstum.

Zur selben Zeit wird Software dank wachsender Codebasis immer komplexer – und somit anfälliger für Software-Fehler wie auch Software-Schwachstellen, die nach dem Erkennen schleunigst behoben werden müssen.

Lediglich im Jahr 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone zufolge, mehr als 66.000 verifizierte Software-Schwachstellen gemeldet.

Aber wie können Firmen und IT-Verantwortliche unter der beträchtlichen Anzahl täglich veröffentlichter Software-Schwachpunkte, diejenigen ausfindig machen, die das größte Sicherheitsrisiko für die IT-Systemlandschaft darstellen und in erster Linie behoben werden sollten?

Die Lösung lautet: Common Vulnerability Scoring System, kurz CVSS.

Common Vulnerability Scoring System: Definition und Hintergründe!

Beim Common Vulnerability Scoring System dreht es sich um einen Maßstab, der die Vulnerabilität von IT-Systemen sowie den Schweregrad von Software-Schwachstellen mittels bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. Auf diese Weise sind Unternehmen in der Position die Gefährdungspotenziale, welche von Software-Schwachstellen kommen, passender einzuschätzen, ihre Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Verwundbarkeit zu priorisieren.

Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine kostenlose sowie standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen bereitzustellen. Mittlerweile geschieht die Fortentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, kurz FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Die drei Metriken auf einen Blick!

Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mit Hilfe von drei Messungen, die als Metriken betitelt werden:
die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.

  • Grundmetrik: Die Grundmetrik stellt alle intrinsischen Eigenschaften der Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
  • Die Ausnutzbarkeit-Metriken spiegeln die Leichtigkeit wie auch die technischen Mittel wider, mit denen eine Software-Schwachstelle ausgebeutet werden kann.
  • Die Auswirkungen-Metriken dagegen geben die konkreten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, welcher die Folgen erleidet.
  • zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegenteil zur Grundmetrik die Eigenschaften einer Software-Schwachstelle wider, die sich im Zuge der Zeit, jedoch nicht über Benutzerumgebungen hinweg ändern kann. Darum sinkt die Vulnerabilität eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit gesehen, da mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt und verfügbar werden.
  • Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Umgebung eines definierten Benutzers relevant und einzigartig sind. Zu den Abwägungen zählen das Vorhandensein von Sicherheitskontrollen, die etliche oder alle Folgen eines gelungenen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems inmitten einer technologischen Infrastruktur.

Common Vulnerability Scoring System: Welche Schweregrade gibt es?

Das Common Vulnerability Scoring System definiert nicht nur den Schweregrad von Software-Schwachstellen anhand definierter Metriken. Es klassifiziert diese auch nach einem Punktesystem von 0 bis 10, wobei der Wert bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Grad einer Software-Schwachstelle entspricht.

Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.

Demnach heißt ein CVSS-Score

  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
  • zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
  • zwischen 7,0 und 8,9 eine hohe Vulnerabilität
  • zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.Common Vulnerability Scoring System: Die Vorteile auf einen Blick!

Common Vulnerability Scoring System: Die Vorteile auf einen Blick!

Der Gebrauch des Common Vulnerability Scoring Systems bietet Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Unternehmen dabei, alle Software-Schwachstellen erstmal zu verschließen, die das größte Sicherheitsrisiko für deren IT-Systemlandschaft sind. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar wie auch nachvollziehbar, da die Schwachstellen-Beurteilung nach einheitlichen sowie universellen Kriterien passiert. Ein weiterer Vorteil besteht darin, dass sich dieser Standard auf unterschiedliche IT-Umgebungen und IT-Systeme transferieren lässt. Überdies gibt es Datenbanken, in welchen Firmen die Einstufungen identifizierter Software-Schwachstellen entnehmen können.

Ein Common Vulnerability Scoring System lohnt sich!

Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer öfter dominieren Meldungen über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirkungsvolles und leistungsfähiges Instrument, welches Firmen dabei hilft, Prioritäten bei der Beseitigung und Minderung von IT-Schwachstellen zu platzieren. Außerdem ermöglicht es den Unternehmen Optimierungspotenziale effizienter auszuschöpfen.

Wollen auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns! Gerne telefonisch unter 02234 68839 0 oder per Mail an kundendienst@netable.de.