Definition

CVSS (Common Vulnerability Scoring System)

Was ist CVSS (Common Vulnerability Scoring System)?

Das Common Vulnerability Scoring System (CVSS) ist ein öffentliches System zur Bewertung des Schweregrads von Sicherheitslücken in Software. Es ist anwendungs- und herstellerneutral, so dass ein Unternehmen seine IT-Schwachstellen für eine breite Palette von Softwareprodukten - von Betriebssystemen und Datenbanken bis hin zu Webanwendungen - anhand desselben Bewertungsrahmens einstufen kann.

Das CVSS-Framework wird vom Forum of Incident Response and Security Teams (FIRST) gepflegt, einer gemeinnützigen Organisation mit mehr als 500 Mitgliedern.

IT-Manager, Informationssicherheitsteams, Anwendungs- und Sicherheitsanbieter können diese Methode nutzen, um Sicherheitstests zu priorisieren oder um sicherzustellen, dass bekannte Schwachstellen während der Entwicklung beseitigt werden. CVSS wurde von Organisationen, Branchen und Regierungsgruppen übernommen. Anbieter wie Cisco, Qualys, Oracle und SAP erstellen ebenfalls CVSS-Scores, um den Schweregrad der in ihren Produkten gefundenen Schwachstellen anzugeben.

CVSS-Scores werden anhand einer Formel berechnet, die sich aus anfälligkeitsbasierten Metriken zusammensetzt. Eine CVSS-Punktzahl ergibt sich aus den Punktzahlen in diesen drei Gruppen: Base, Temporal und Environmental. Die Werte reichen von Null bis 10, wobei Null für die geringste und 10 für die größte Schwachstelle steht.

Warum verwenden Unternehmen CVSS?

In der Vergangenheit haben die Hersteller ihre eigenen Methoden zur Bewertung von Softwareschwachstellen angewandt, oft ohne detailliert zu erläutern, wie ihre Bewertungen berechnet wurden. Dies stellte die Systemadministratoren vor ein Dilemma: Sollten sie eine Schwachstelle mit einem hohen Schweregrad zuerst beheben oder eine mit einer Bewertung von fünf?

Um dieses Problem zu lösen, vereinfacht CVSS die Erstellung einheitlicher Bewertungen, die den Schweregrad und die Auswirkungen von Schwachstellen in einer IT-Umgebung widerspiegeln. CVSS bietet außerdem Folgendes:

Es wird ein offener Bewertungsrahmen geschaffen. Unternehmen haben vollen Zugang zu den CVSS-Parametern, die zur Ermittlung der Schwachstellenwerte verwendet werden, so dass alle Beteiligten die Gründe und Unterschiede hinter den Schwachstellenwerten verstehen. Dies erleichtert es den Sicherheitsteams, die Auswirkungen der Schwachstellen auf ihre Systeme abzuschätzen und Prioritäten zu setzen, welche Schwachstellen zuerst behoben werden müssen.

Entschärfung von Schwachstellen in der Entwicklung. Softwareentwickler können CVSS-Scores verwenden, um Sicherheitstests zu priorisieren und sicherzustellen, dass bekannte und schwerwiegende Schwachstellen während der Entwicklung entfernt oder entschärft werden.

Einhaltung von Sicherheitsstandards. CVSS kann Unternehmen dabei helfen, die Sicherheitsanforderungen verschiedener Standards zu erfüllen. So wirkt sich beispielsweise das Vorhandensein ungepatchter Schwachstellen mit einem CVSS-Score von vier oder höher negativ auf die Einhaltung des PCI-DSS aus.

Die Geschichte von CVSS

Der U.S. National Infrastructure Advisory Council (NIAC) führte CVSS erstmals 2005 ein, aber FIRST ist nun Eigentümer und Verwalter des Systems. NIAC entwickelte CVSS, um die Erstellung einheitlicher Bewertungen zu vereinfachen, die die bestehenden Risiken und Schwachstellen einer bestimmten IT-Umgebung genau widerspiegeln können.

FIRST sponsert und unterstützt die CVSS Special Interest Group (SIG), die sich aus verschiedenen Organisationen und Einzelpersonen zusammensetzt, die zur Förderung und Weiterentwicklung des Frameworks beitragen.

Die CVSS SIG hat den größten Teil der Forschung und des Feedbacks zum ursprünglichen Design von CVSS geleistet und dazu beigetragen, die in späteren Versionen verwendeten Formeln zu testen und zu verfeinern.

CVSS v2 wurde 2007 veröffentlicht und galt als erhebliche Verbesserung gegenüber der ursprünglichen Version. Sie wies weniger Unstimmigkeiten auf, bot zusätzliche Granularität und spiegelte die tatsächlichen Eigenschaften von IT-Schwachstellen trotz der großen Vielfalt an Schwachstellentypen genauer wider.

Mit CVSS 3.0, das im Juni 2015 veröffentlicht wurde, wurden Änderungen an der Bewertung vorgenommen, die die Realität der in der freien Wildbahn auftretenden Schwachstellen besser widerspiegeln. Mit der Aktualisierung wurden beispielsweise Änderungen an den für die Ausnutzung einer Schwachstelle erforderlichen Berechtigungen und den Möglichkeiten, die ein Angreifer bei erfolgreicher Ausnutzung der Schwachstelle hat, vorgenommen.

Im Juni 2019 wurde die Version 3.1 von CVSS veröffentlicht. Die Änderungen in dieser Version konzentrieren sich auf die Klarstellung und Verbesserung des Standards. In dieser Version werden keine neuen Metriken oder Metrikwerte eingeführt und keine größeren Änderungen an den Formeln vorgenommen. Ende 2023 wurde die Version 4.0 von CVSS veröffentlicht.

Mit der Version 4.0 geht eine neue Nomenklatur einher und es wurden granulare Einteilungen veröffentlicht: Base (CVSS-B), Base plus Threat (CVSS-BT), Base plus Environmental (CVSS-BE), und Base plus Threat plus Environmental (CVSS-BTE). Zudem wurden neue Basismetriken hinzugefügt: Angriffsanforderungen (Attack Requirements, AT) als neue Einheit sowie Neuerungen bei der Basiseinstufen (Benutzerinteraktion (UI), aktiv und passiv). Das Konzept der Angriffskomplexität wurde mit CVSS 4.0 in zwei Basismetriken erweitert: Angriffskomplexität (AC, Attack Complexity) und die oben erwähnten Angriffsanforderungen (AT, Attack Requirements).

Wie sich die einzelnen Werte und der Score zusammensetzen, kann beispielsweise bei FIRST über den Common Vulnerability Scoring System Version 4.0 Calculator nachvollzogen werden.

Diese Definition wurde zuletzt im Mai 2024 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit