Software-Schwachpunkte sind zunehmend ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu aufgerufen, diese nach dem Erkennen schnellstmöglich zu schließen. Angesichts dessen sollten sie sich jedoch zunächst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System hilft bei der Einschätzung und Beurteilung und dient somit als Orientierung. Wie das Common Vulnerability Scoring System im Detail arbeitet und warum es für Firmen essenziell ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln einzuschätzen, verraten wir Ihnen im nachfolgenden Beitrag.
Software ist allgegenwärtig.
Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Geräte oder auch Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die bedeutendste Rolle. Insbesondere im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und bieten ein großes Potenzial für disruptive Innovationen, frische Geschäftsmodelle und nachhaltiges Unternehmenswachstum.
Zur gleichen Zeit wird Software dank steigender Codebasis ständig komplizierter – und somit anfälliger für Software-Fehler wie auch Software-Schwachstellen, welche nach dem Bekanntwerden schnellstmöglich geschlossen werden müssen.
Lediglich im Jahr 2021 wurden, dem aktuellen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, über 66.000 verifizierte Software-Schwachstellen gemeldet.
Doch wie können Unternehmen und IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachpunkte, jene finden, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und vorrangig beseitigt werden müssen?
Die Antwort lautet: Common Vulnerability Scoring System, kurz CVSS.
Was ist ein Common Vulnerability Scoring System eigentlich?
Beim Common Vulnerability Scoring System handelt es sich um einen Maßstab, welcher die Vulnerabilität von IT-Systemen und den Grad von Software-Schwachstellen anhand bestimmter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren zeigt und jene nach einem Punktesystem von 0 bis 10 einordnet. Auf diese Weise sind Firmen in der Position die Gefährdungspotenziale, die von Software-Schwachstellen kommen, passender einzuschätzen, deren Auswirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen entsprechend dem Grad der Verwundbarkeit zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine kostenlose sowie standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen zu entwerfen. Mittlerweile erfolgt die Fortentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, kurz FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Von niedrig bis kritisch!
Die Beurteilung von Software-Schwachstellen geschieht beim Common Vulnerability Scoring System anhand von drei Überprüfungen, die als Metriken bezeichnet werden: die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
- Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Angaben sind zeitlich konstant und sind in verschiedenen Benutzerumgebungen gleich. Im Generellen fügt sich die Grundmetrik aus zwei Gruppen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
- Die Ausnutzbarkeit-Metriken spiegeln die Leichtigkeit und die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgenutzt werden kann.
- Die Auswirkungen-Metriken hingegen spiegeln die direkten Konsequenzen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, der die Folgen erleidet.
- zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, welche sich im Laufe der Zeit, jedoch nicht über Benutzerumgebungen über ändern kann. Demnach sinkt die Vulnerabilität eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit gesehen, weil mehr und mehr Gegenmaßnahmen etwa offizielle Patches sowie Workarounds bekannt wie auch verfügbar werden.
- Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, welche für die Umgebung eines definierten Benutzers von Belang und einzigartig sind. Zu den Überlegungen gehören das Vorhandensein von Sicherheitskontrollen, welche etliche oder alle Folgen eines erfolgreichen Internetangriffs abschwächen können sowie die relative Bedeutsamkeit eines verwundbaren IT-Systems innerhalb einer technologischen Infrastruktur.
Common Vulnerability Scoring System: Von niedrig bis kritisch!
Das Common Vulnerability Scoring System beschreibt nicht bloß den Schweregrad von Software-Schwachstellen anhand definierter Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, bei dem der Rang beziehungsweise CVSS-Score von 10,0 die höchste Vulnerabilität eines IT-Systems und damit dem höchsten Grad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ unterteilt worden.
Demnach bedeutet ein CVSS-Score
- von 0,0 keine Verwundbarkeit
- zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
- zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
- zwischen 7,0 und 8,9 eine hohe Vulnerabilität
- zwischen 9,0 und 10,0 eine kritische Vulnerabilität
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Einsatz des Common Vulnerability Scoring Systems bringt Firmen eine Reihe lohnender Vorteile: Zum einen unterstützt es die Firmen dabei, sämtliche Software-Schwachstellen vorrangig zu verschließen, die das größte Sicherheitsrisiko für deren IT-Systemlandschaft sind. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und nachvollziehbar, weil die Schwachstellen-Beurteilung nach gleichen und universellen Kriterien passiert. Ein weiterer Gewinn besteht darin, dass sich dieser Standard auf verschiedene IT-Umgebungen und IT-Systeme transferieren lässt. Außerdem gibt es Datenbanken, in denen Unternehmen die Einstufungen bekannter Software-Schwachstellen entnehmen können.
Ein Common Vulnerability Scoring System lohnt sich!
Die Zahl gefährlicher Software-Schwachstellen nimmt seit mehreren Jahren zu. Immer öfter beherrschen Nachrichten über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, welche durch ihre gelungene Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie leistungsfähiges Instrument, welches Unternehmen dabei supportet, Prioritäten bei der Beseitigung und Minderung von IT-Schwachstellen zu platzieren. Ferner ermöglicht es den Firmen Optimierungspotenziale besser für sich zu nutzen.