Cybersicherheit bedeutet nicht nur Maßnahmen zu ergreifen, um diese dauerhaft gewährleisten zu können, sondern auch, mögliche Schwachstellen besonders früh zu entdecken und bestmöglich zu eliminieren. Dazu müssen diese Schwachstellen jedoch erst einmal bewertet und priorisiert werden. Eine bewährte Methode hierfür ist das Common Vulnerability Scoring System (CVSS) 4.0, das Unternehmen dabei unterstützt, Sicherheitsrisiken objektiv zu beurteilen und geeignete Maßnahmen zu ergreifen.
Der offene Standard eines CVSS sorgt dafür, dass die Schwere von Schwachstellen auf einer Skala von eins bis zehn entsprechend bewertet werden können, wobei die höheren Zahlen auch auf schwerwiegendere Sicherheitslücken hinweisen. Je höher die Bewertung in CVSS also ausfällt, desto gefährlicher ist die Schwachstelle innerhalb der eigenen Systeme anzusehen. Das CVSS gibt also auf den ersten Blick verständlich an, wie gefährlich eine Schwachstelle wirklich ist und welcher Priorität sie zugeordnet werden muss.
In diesem Artikel schauen wir uns nicht nur das CVSS in Version 4.0 ein wenig genauer an, sondern erklären auch dessen genaue Funktionsweise. Die hat nämlich clevere Mechanismen mit an Bord, um Schwachstellen in großen wie auch kleinen Unternehmen optimal bewerten zu können. Außerdem möchten wir darüber sprechen, wie sich das System im Laufe der Zeit entwickelt und vor allem auch weiterentwickelt hat und wie es korrekt gelesen werden sollte.
Von CVSS 1.0 zu CVSS 2.0 und CVSS 3.0
Ursprünglich wurde CVSS im Jahr 2005 von der FIRST (Forum of Incident Response and Security Teams) entwickelt. Das Common Vulnerability Scoring System dient dabei der eindeutigen Klassifizierung von Schwachstellen. Es wurde geschaffen, damit Sicherheitsexperten auf ein Framework setzen können, welches ihnen aktiv dabei hilft, Angriffspunkte möglichst objektiv und vor allem auch für alle Teams gleichermaßen verständlich zu bewerten. Genau das ist dann CVSS geworden.
Es entstand als ein offener Standard, zur gleichen Zeit, als sich die Cybersecurity-Community mehr und mehr etablierte. Zu diesem Zeitpunkt wurde das Verlangen nach einer standardisierten Methode immer größer, da es mitunter sehr schwierig geworden war, die unzähligen verschiedenen Schwachstellen und Sicherheitslücken noch effektiv zu bewerten und zu protokollieren. Bis dato gab es auch noch gar keine einheitliche Formel, um solche Probleme überhaupt festhalten und zu klassifizieren.
Im Jahr 2005 wurde dann CVSS in Version 1.0 veröffentlicht. Mit unterschiedlichen Metriken wurden hier erstmalig Schwachstellen bewertet und somit vergleichbar gemacht. Dieses System wurde in den folgenden Jahren dann mehr und mehr angepasst, verbessert und auch noch einmal deutlich erweitert. Eben so, wie Schulnoten von eins bis sechs immer dasselbe bedeuten, sagte auch die CVSS-Skala von eins bis zehn eindeutig aus, wie schwerwiegend die protokollierte Sicherheitslücke war und welche Priorität ihr zukommen sollte.
Mit CVSS 2.0 und CVSS 3.0 wurden vor allem die Methoden zur Bewertung der entsprechenden Bedrohungen verfeinert. Ziel war es hier, möglichst genaue Mechanismen zu entwickeln, um sich den ständig ändernden Bedrohungslandschaften noch ein wenig mehr anzupassen.
CVSS in Version 4.0 und seine Vorteile
Auch mit CVSS Version 4.0 wollte das Team abermals auf die sich beständig verändernde Landschaft der Bedrohungen reagieren. Das war nach all den Jahren notwendig geworden, weshalb mit Version 4.0 ein paar wichtige Änderungen Einzug erhielten. Viele davon wurden von Sicherheitsforschern und Analysten schon lange gefordert, mussten aber eben erst noch sinnvoll in das bestehende System eingegliedert werden.
Um die Bewertung von Schwachstellen in CVSS 4.0 noch kontextreicher und eben schlichtweg genauer zu gestalten, wurden erstmals auch zeitliche Faktoren hinzugezogen, ebenso wie Umweltfaktoren, die auch Teil der neuen Bewertungsrichtlinien wurden. Die zeitlichen Faktoren sind dabei besonders interessant. Somit lässt sich ein Einfluss der Zeit auf die Schwere von Schwachstellen darlegen. Bereits ausgenutzte Schwachstellen können aufgrund dessen mit noch mehr Dringlichkeit versehen werden, weil der Faktor Zeit eine große Rolle für die Sicherheit in diesem Bereich spielt.
Ein weiterer Aspekt betrifft die Genauigkeit, mit der Sicherheitslücken in CVSS 4.0 protokolliert werden. Mit CVSS 4.0 werden zum Beispiel auch die Komplexitäten von Cloud-Umgebungen gesondert berücksichtigt, die zuvor noch eine deutlich kleinere Rolle spielten. Allgemein kann gesagt werden, dass CVSS in Version 4.0 primär die Bewertung von Schwachstellen in umfangreichen Netzwerken vereinfacht und abermals deutlich genauer gestaltet. Damit wird die vierte Version von CVSS auch den neusten Umgebungen gerecht und passt sich der aktuellen Ära der Cybersicherheit an. Kaum etwas wandelt sich schließlich so schnell und stark, wie die IT-Systeme und deren Sicherheitsanforderungen.
Schwachstellenbewertung
Doch wie genau sieht die Bewertung von Schwachstellen auf Basis von CVSS denn nun aus? Im Grunde ganz einfach, denn um eine Schwachstelle objektiv zu bewerten, bedarf es verschiedener Schritte, die am Ende zum Ziel führen. Die folgenden Steps haben wir einmal exemplarisch etwas heruntergebrochen, um ein ungefähres Verständnis des Vorgangs zu erzeugen, ohne dabei aber allzu komplex oder detailversessen zu werden.
Zunächst erfolgt eine Analyse der sogenannten Basismetriken. Hier geht es darum, wie eine Schwachstelle ausgenutzt werden kann, welche Daten betroffen sind, wie schwer die Auswirkungen auf das IT-System erscheinen, ob akut Daten gefährdet sind, wie komplex die Ausnutzung der Schwachstelle selbst ist sowie noch einiges mehr. Also Grundlegendes zum Angriffspunkt.
Nachdem diese und einige weitere Basismetriken bewertet wurden, entsteht der sogenannte CVSS-Score. Die Zahl von eins bis zehn gibt dabei den Schweregrad der Schwachstelle an. Eine Eins würde bedeuten, dass die Schwachstelle zu vernachlässigen ist, während eine Zehn für eine schwerwiegendere Schwachstelle spricht, um die sich sofort und ohne Umwege gekümmert werden sollte.
Der CVSS-Score wird dabei als Vektor ausgegeben. Die Bewertung der einzelnen Metriken ist durch den Vektor besonders deutlich sichtbar und für jeden Sicherheitsexperten daher entsprechend einfach zu verstehen. Ein CVSS-Vektor sieht dabei folgendermaßen aus.
CVSS:4.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Der Anfang zeigt die verwendete CVSS-Version an, während die Buchstaben für verschiedene Bewertungen stehen. Etwa gleich zu Beginn »AV« für »Attack Vector« mit der Bewertung »N« für »Network«. Eine genauere Erklärung würde hier nun aber zu weit führen. Allerdings wissen Sie jetzt ungefähr, wie sich der CVSS-Score zusammensetzt und warum er so aussieht, wie er eben aussieht.
Unsere Arbeit der Protokollierung mit CVSS in Version 4.0
Als erfahrener Sicherheitsdienstleister haben wir CVSS damals direkt nach der Veröffentlichung für uns und unsere Arbeit übernommen. Ganz egal, ob im Bereich der Penetrationstests, unserer umfangreichen Sicherheitsanalysen oder dem Aufbau eines ISMS, stets berücksichtigen wir die neuste Version von CVSS 4.0 bei unserer Arbeit im Bereich der Cybersicherheit. Sie gilt als führend und vor allem als eine Art von Standard in dem Bereich der Schwachstellenbewertung.
Wir halten es zudem für besonders wichtig, auch bei unseren Kunden die aktuellsten und wertigsten Schwachstellenbewertungen zu etablieren, die es am Markt gibt. Bei einem Penetrationstest spielt es schließlich eine entscheidende Rolle, die Schwachstellen in IT-Systemen entsprechend genau bewerten und kategorisieren zu können, aber auch über deren Auswirkungen und Prioritäten aufzuklären. Genau das ermöglicht uns CVSS 4.0 ohne weitere Umwege. Hier weiß jeder Sicherheitsexperte sofort, wovon die Rede ist und welche Art von Aufmerksamkeit die entsprechende Schwachstelle von ihm verlangt. Dem Standard CVSS sei Dank.
Die jeweiligen Berichte werden von uns daher auf Basis von CVSS 4.0 geschrieben, sodass eine Risikobewertung direkt und klar erfolgen kann. Neuste Faktoren, wie unter anderem auch Umwelt und Zeit, spielen dabei natürlich eine ebenso wichtige Rolle, wie moderne Cloud-Technische Sicherheitsprobleme. Damit ist schnell klar, welche Maßnahmen ergriffen werden müssen, um IT-Systeme vollumfänglich schützen sowie sicher und stabil halten zu können.
Hilfe bei der Risikominimierung
Mit CVSS 4.0 ist ein wichtiger Schritt in der Weiterentwicklung des Common Vulnerability Scoring System erfolgt. Mit neuen Bewertungsrichtlinien und noch genaueren Faktoren hilft CVSS 4.0 bei der exakten Schwachstellenbewertung und unterstützt Unternehmen zunehmend dabei, ihre Cybersicherheitsstrategien in Hinblick auf die Effektivität zu überarbeiten sowie entsprechend stark zu optimieren. CVSS war und ist hier wirklich äußerst hilfreich.
Penetrationstests und ähnliche Analysen profitieren dabei enorm von CVSS 4.0 und erlauben es dem Pentester, die Priorisierungen der einzelnen Schwachstellen noch stärker hervorzuheben. Auf diese Weise wird ausgesprochen schnell erkenntlich, wo das derzeit größte Sicherheitsrisiko zu finden ist und in welchen Bereichen eine sofortige Reaktion seitens des IT-Teams gefragt ist.
CVSS bringt damit das bestmögliche System, um Schwachstellen zu bewerten, objektiv zu vergleichen und auf Basis der Risiken entsprechend effektiv zu arrangieren. Auf diese Weise lassen sich dann auch die vorhandenen Ressourcen besser einteilen, um die Behebung von Schwachstellen möglichst effektiv zu gestalten. Geht es um die Risikominderung, kommen Sie um CVSS daher nicht herum.