CVSS Scoring System: Ihr Wegweiser zur Schwachstellenbewertung
Die Herausforderung wächst: NIST meldete kürzlich, dass im Jahr 2024 32 % mehr Schwachstellen eingereicht wurden als im Vorjahr. Angesichts dieser zunehmenden Anzahl von Sicherheitslücken benötigen Unternehmen einen verlässlichen Maßstab zur Bewertung ihrer Dringlichkeit. Das Common Vulnerability Scoring System (CVSS) stellt genau diesen standardisierten Rahmen zur Verfügung und ermöglicht die systematische Bewertung des Schweregrads von Sicherheitsmängeln in Informationssystemen. Wir erklären Ihnen, wie das CVSS-Scoring-System funktioniert, wie Sie es zur Bewertung von Schwachstellen einsetzen können und was Sie über die aktuellsten Entwicklungen wissen müssen.
Grundlagen des CVSS-Scoring-Systems
Was ist ein CVSS-Score und wofür wird er verwendet?
Ein CVSS-Score bildet den Schweregrad einer Sicherheitslücke numerisch auf einer Skala von 0 bis 10 ab. Ein Score von 0 signalisiert minimale Schwere, während ein Score von 10 auf kritische Schwachstellen hinweist, die sofortige Aufmerksamkeit erfordern.
Das System verwendet drei primäre Metrikgruppen – Basismetriken, zeitliche Metriken und Umweltmetriken – um Schwachstellen strukturiert zu bewerten.
Das Common Vulnerability Scoring System fungiert als offenes Framework zur strukturierten Kommunikation von Schwachstelleneigenschaften in IT-Systemen. Eine wichtige Klarstellung vorweg: CVSS misst nicht das Risiko, sondern liefert eine qualitative Bewertung des Schweregrads. Diese Unterscheidung ist entscheidend für die korrekte Anwendung des Systems.
Das Framework bietet einen standardisierten, herstellerunabhängigen Ansatz, mit dem Sicherheitsexperten Schwachstellen objektiv vergleichen und priorisieren können. Die Verwaltung und Weiterentwicklung des CVSS-Standards liegt bei FIRST.Org, Inc., einer gemeinnützigen Organisation aus den USA.
Hauptanwendungsbereiche des CVSS-Systems:
- Berechnung des Schweregrads entdeckter Schwachstellen
- Strukturierte Priorisierung von Abhilfemaßnahmen
Mit der Veröffentlichung von CVSS v4.0 im Jahr 2023 wurden wichtige Verbesserungen eingeführt, um die Genauigkeit der Bewertungen zu erhöhen und das Feedback der Nutzer zu berücksichtigen.
CVSS 3.1 vs. CVSS 4.0: Wichtige Unterschiede
CVSS 4.0 wurde im November 2023 offiziell veröffentlicht und bringt wesentliche Änderungen mit sich. Die Entwicklung zeigt eine konsequente Weiterentwicklung des Bewertungsrahmens:
Strukturelle Änderungen:
- Temporal Metrics wurden zu Threat Metrics umbenannt
- Entfernung der Metriken „Remediation Level“ und „Report Confidence“
- „Exploit Code Maturity“ heißt nun „Exploit Maturity“
Erweiterte Granularität: Die Benutzerinteraktion (UI) wird nun präziser in „Passiv“ und „Aktiv“ unterteilt. Diese Verfeinerung ermöglicht genauere Bewertungen der erforderlichen Nutzermitwirkung bei einem Angriff.
Impact-Metriken Neustrukturierung: Die Scope-Metrik aus CVSS 3.1 wurde durch zwei Impact-Metrik-Sets ersetzt: „Vulnerable System Impact“ (VC, VI, VA) und „Subsequent System(s) Impact“ (SC, SI, SA).
Supplemental Metric Group: Diese völlig neue Gruppe liefert zusätzliche kontextuelle Informationen, ohne die berechneten Scores zu beeinflussen. CVSS 4.0 bietet damit verbesserte Anleitungen für konsistentere Bewertungen.
CVSS-Vektor: Struktur und Bedeutung
Der CVSS-Vektor stellt eine komprimierte textuelle Darstellung aller zur Score-Ableitung verwendeten Werte dar. Das Format folgt einem klaren Schema: metric:value/metric:value/metric:value.
Ein praktisches Beispiel verdeutlicht die Struktur: „AV:N/AC:L/Au:S/C:P/I:P/A:N“ in CVSS v2 bedeutet:
- Zugriffsvektor Netzwerk (AV:N)
- Niedrige Angriffskomplexität (AC:L)
- Einzelauthentifizierung erforderlich (Au:S)
- Vertraulichkeit teilweise betroffen (C:P)
- Integrität teilweise betroffen (I:P)
- Keine Verfügbarkeitsauswirkungen (A:N)
Der Vektor sollte stets zusammen mit dem Schweregrad angezeigt werden, da er die „offene“ Natur des Frameworks unterstreicht. Diese Transparenz ermöglicht es jedem, die Score-Ableitung für eine bestimmte Schwachstelle nachzuvollziehen und bei Bedarf die Gültigkeit einzelner Metriken zu überprüfen.
Die drei CVSS-Metrikgruppen im Detail
Das CVSS-Framework strukturiert die Schwachstellenbewertung durch drei zentrale Metrikgruppen, die jeweils unterschiedliche Aspekte einer Sicherheitslücke erfassen. Diese systematische Aufteilung ermöglicht eine differenzierte Analyse, die sowohl technische Eigenschaften als auch zeitliche und umgebungsspezifische Faktoren berücksichtigt.
Basismetriken: Exploitability und Impact
Die Basismetriken bilden das Fundament des CVSS-Systems und erfassen die intrinsischen Eigenschaften einer Schwachstelle, die über Zeit und Umgebungen hinweg konstant bleiben. Diese grundlegenden Metriken unterteilen sich in zwei wesentliche Kategorien:
Exploitability-Metriken bewerten, wie leicht eine Schwachstelle ausgenutzt werden kann:
- Attack Vector (AV): Reicht von Netzwerkzugriff (N) bis physischer Zugang (P)
- Attack Complexity (AC): Bewertet die Komplexität des Angriffs
- Privileges Required (PR): Benötigte Zugriffsrechte
- User Interaction (UI): Notwendigkeit der Benutzerinteraktion
Impact-Metriken messen die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit (CIA).
Diese grundlegende Bewertung verändert sich nicht und dient als verlässlicher Ausgangspunkt für weitere Analysen. Der Base Score wird vom National Vulnerability Database (NVD) für jede Common Vulnerabilities and Exposures (CVE) – Eintragung bereitgestellt.
Zeitlichen Metriken: Dynamische Bewertungsfaktoren
Die zeitlichen Metriken konzentrieren sich auf Faktoren, die sich im Laufe der Zeit ändern können. Diese dynamischen Elemente ermöglichen eine kontinuierliche Neubewertung von Schwachstellen:
Exploit Code Maturity bewertet die Verfügbarkeit von Exploit-Code – von theoretisch bis funktional autonom.
Remediation Level zeigt den aktuellen Stand der Behebung – von nicht verfügbar bis offiziell behoben.
Report Confidence misst die Zuverlässigkeit der Schwachstellenbeschreibung – von unbestätigt bis detailliert nachgewiesen.
Diese Metriken erlauben eine dynamische Neubewertung, wenn beispielsweise neue Exploit-Tools auftauchen oder Patches veröffentlicht werden. Dadurch bleibt die Bewertung aktuell und praxisrelevant.
Umweltmetriken: Unternehmensspezifische Anpassungen
Die Umweltmetriken ermöglichen eine individuelle Anpassung der CVSS-Bewertung an die spezifische Umgebung einer Organisation. Diese Flexibilität ist entscheidend für eine realistische Risikobewertung:
Security Requirements definieren die Bedeutung von Vertraulichkeit, Integrität und Verfügbarkeit für das jeweilige Unternehmen. Ein Finanzdienstleister wird beispielsweise die Vertraulichkeit höher gewichten als ein öffentliches Informationsportal.
Modified Base Metrics erlauben die Anpassung der Base-Metriken, um vorhandene Sicherheitsmaßnahmen zu berücksichtigen. Existierende Schutzmaßnahmen können den tatsächlichen Schweregrad einer Schwachstelle in der spezifischen Umgebung reduzieren.
Durch diese umgebungsspezifischen Anpassungen entwickelt sich der CVSS-Score von einer allgemeinen Bewertung zu einem aussagekräftigen Indikator für das tatsächliche Risiko in Ihrer spezifischen Infrastruktur.
CVSS Score berechnen und interpretieren
Die praktische Anwendung von CVSS-Scores erfordert sowohl technisches Verständnis als auch die richtige Interpretation der Ergebnisse. Um effektive Schwachstellenbewertungen durchzuführen, empfehlen wir eine strukturierte Herangehensweise an beide Bereiche.
Verwendung des CVSS Calculators
Der CVSS Calculator bildet das zentrale Werkzeug zur Berechnung von Schwachstellenbewertungen. Die korrekte Anwendung beginnt mit der vollständigen Eingabe aller Base-Metriken, da ohne diese keine Bewertung möglich ist. Nach Auswahl aller Basismetriken generiert das System automatisch einen Vektor-String, der die gewählten Werte präzise darstellt und zur weiteren Verwendung kopiert werden kann.
Verfügbare offizielle Rechner:
- National Vulnerability Database (NVD) für standardisierte Bewertungen
- FIRST.org für verschiedene CVSS-Versionen
Beispielhafte Bewertung: EternalBlue (CVE-2017-0144)
Die berüchtigte EternalBlue-Schwachstelle (CVE-2017-0144) veranschaulicht die praktische Anwendung des CVSS-Systems:
- CVSS v3.1: Base Score 8.8 (HIGH) mit Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H16
- CVSS v2.0: Base Score 9.3 (HIGH) mit Vektor AV:N/AC:M/Au:N/C:C/I:C/A:C16
Diese Bewertung zeigt deutlich die Kritikalität: Angreifbarkeit über Netzwerk (AV:N), geringe Angriffskomplexität (AC:L) und maximale Auswirkungen auf alle drei CIA-Bereiche (C:H/I:H/A:H). Die hohen Scores in beiden Versionen spiegeln die erhebliche Bedrohung wider, die diese Schwachstelle für ungeschützte Systeme darstellt.
Qualitative Bewertungsskala: Von niedrig bis kritisch
Die numerischen CVSS-Scores werden in qualitative Kategorien übersetzt, um die Kommunikation und Priorisierung zu erleichtern:
- None: 0.0
- Low (Niedrig): 0.1 – 3.9
- Medium (Mittel): 4.0 – 6.9
- High (Hoch): 7.0 – 8.9
- Critical (Kritisch): 9.0 – 10.0 18
Diese seit CVSS v3.0 gültige Skala hilft Organisationen dabei, Schwachstellen entsprechend ihres Schweregrads zu priorisieren. Ein wichtiger Punkt: Der CVSS-Score stellt kein Risikomaß dar, sondern beschreibt ausschließlich den technischen Schweregrad einer Schwachstelle. Diese Unterscheidung ist entscheidend für eine korrekte Interpretation und angemessene Reaktionsplanung.
Grenzen und Weiterentwicklungen des CVSS-Modells
Kontextlosigkeit und fehlende Risikobewertung
CVSS-Scores haben sich als wertvolles Instrument etabliert, weisen jedoch deutliche Einschränkungen auf. Ein häufiges Missverständnis besteht darin, dass ein hoher Score automatisch eine unmittelbare Bedrohung signalisiert. Tatsächlich misst CVSS primär den technischen Schweregrad einer Schwachstelle – nicht die Wahrscheinlichkeit eines Angriffs im realen Kontext.
Diese Kontextlosigkeit führt häufig zu fehlerhaften Priorisierungen. Eine Schwachstelle mit einem Score von 9,8 auf einem Testsystem kann weniger kritisch sein als eine mit 6,5 auf einem Produktionsserver mit sensiblen Kundendaten. CVSS-Scores bleiben zudem unverändert und werden selten aktualisiert, sodass neue Informationen nicht berücksichtigt werden.
CVSS vs. CVE: Unterschiedliche Rollen im Sicherheitsmanagement
CVSS und CVE erfüllen unterschiedliche Funktionen: Während CVSS ein Framework zur Bewertung des Schweregrads bereitstellt, ist CVE lediglich eine Liste von Schwachstellen mit eindeutigen Kennungen und grundlegenden Details.
Der CVSS-Score ist nicht direkt in der CVE-Auflistung zu finden. Hierfür muss die National Vulnerability Database (NVD) konsultiert werden. Diese erweitert die CVE-Liste mit zusätzlichen Informationen wie Patch-Verfügbarkeit und bietet eine benutzerfreundlichere Suchoberfläche.
Erweiterung durch EPSS und Risk-Based Vulnerability Management
Als Antwort auf die Grenzen des CVSS-Systems wurden neue Ansätze entwickelt. Das Exploit Prediction Scoring System (EPSS) sagt die Wahrscheinlichkeit voraus, dass eine Schwachstelle ausgenutzt wird. Es nutzt reale Exploitdaten und maschinelles Lernen für dynamische, kontextbezogene Bewertungen.
Während CVSS statische Bewertungen liefert, aktualisiert EPSS seine Scores basierend auf neuen Bedrohungsinformationen. Moderne Plattformen für Schwachstellenmanagement kombinieren beide Systeme: CVSS zeigt den potenziellen Schaden, EPSS die Wahrscheinlichkeit. Zusammen mit geschäftskritischen Kontextinformationen ermöglichen sie eine effektivere Priorisierung von Sicherheitsmaßnahmen.
Wir empfehlen Unternehmen, CVSS-Scores als Ausgangspunkt zu nutzen und diese durch kontextuelle Faktoren zu ergänzen, um fundierte Entscheidungen über Sicherheitsmaßnahmen zu treffen.
CVSS ist unverzichtbar
Das CVSS-Scoring-System hat sich als unverzichtbares Werkzeug für die strukturierte Bewertung von Sicherheitslücken etabliert. Die standardisierte Bewertungsmethodik ermöglicht es Organisationen, Schwachstellen effektiver zu priorisieren und ihre Ressourcen zielgerichtet einzusetzen. Dennoch ist wichtig zu verstehen: CVSS-Scores messen ausschließlich den technischen Schweregrad einer Sicherheitslücke – nicht das tatsächliche Risiko in Ihrer spezifischen Umgebung.
Die Weiterentwicklung von CVSS 3.1 zu CVSS 4.0 verdeutlicht die kontinuierliche Verbesserung des Systems. Besonders die erweiterte Granularität bei der Benutzerinteraktion und die neue Supplemental Metric Group bieten zusätzlichen Kontext für fundierte Sicherheitsentscheidungen.
Für ein wirklich effektives Schwachstellenmanagement empfehlen wir die Kombination von CVSS mit anderen Bewertungsansätzen. Das Exploit Prediction Scoring System (EPSS) ergänzt die statische CVSS-Bewertung um eine dynamische Komponente zur Vorhersage der Ausnutzungswahrscheinlichkeit. Erst diese Kombination mit geschäftskritischen Kontextinformationen führt zu einem aussagekräftigen, risikobezogenen Schwachstellenmanagement.
Der CVSS-Score bleibt ein grundlegendes Element für jeden Sicherheitsverantwortlichen. Die Einbettung dieser Scores in einen breiteren Kontext – unter Berücksichtigung des Geschäftswerts betroffener Systeme und aktueller Bedrohungsinformationen – ermöglicht jedoch eine deutlich präzisere Priorisierung von Sicherheitsmaßnahmen.
Mit diesem fundierten Verständnis können Sie das CVSS-System effektiv anwenden, seine Stärken nutzen und gleichzeitig seine Grenzen berücksichtigen. Dies versetzt Sie in die Lage, fundierte Entscheidungen zum Schutz Ihrer IT-Infrastruktur zu treffen und Ihre Ressourcen dort einzusetzen, wo sie den größten Sicherheitsnutzen erzielen.
Weiterführende Fragen zu CVSS
Was ist der CVSS-Score und wozu dient er?
Der CVSS-Score ist eine numerische Bewertung des Schweregrads einer Sicherheitslücke auf einer Skala von 0 bis 10. Er wird verwendet, um Schwachstellen zu priorisieren und den Schweregrad von Sicherheitsmängeln in Informationssystemen zu kommunizieren.
Wie unterscheidet sich CVSS 4.0 von früheren Versionen?
CVSS 4.0 führt mehrere Änderungen ein, darunter die Umbenennung von „Temporal Metrics“ zu „Threat Metrics“, eine feinere Unterteilung der Benutzerinteraktion und die Einführung einer neuen „Supplemental Metric Group“ für zusätzliche kontextuelle Informationen.
Wie wird ein CVSS-Score berechnet?
Ein CVSS-Score wird mithilfe eines CVSS-Calculators berechnet, wobei zunächst die Base-Metriken ausgefüllt werden müssen. Der Calculator generiert dann einen Vektor-String, der die gewählten Werte repräsentiert und zur Berechnung des Scores verwendet wird.
Was bedeuten die verschiedenen qualitativen Bewertungsstufen des CVSS?
Die CVSS-Scores werden in qualitative Bewertungen übersetzt: None (0.0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9) und Critical (9.0-10.0). Diese Skala hilft Organisationen bei der Priorisierung von Schwachstellen basierend auf ihrem Schweregrad.
Welche Grenzen hat das CVSS-System und wie wird es ergänzt?
CVSS misst primär den technischen Schweregrad einer Schwachstelle, nicht das tatsächliche Risiko oder die Angriffswahrscheinlichkeit. Um diese Einschränkungen auszugleichen, wird CVSS oft mit anderen Systemen wie dem Exploit Prediction Scoring System (EPSS) kombiniert, das die Wahrscheinlichkeit einer Ausnutzung vorhersagt.
Wie gut ist Ihre Prävention vor einem Cyberangriff?
Weitere spannende Beiträge
-
- News
Darknet Monitoring: So schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen
Zum BeitragCyberkriminelle nutzen das Darknet als bevorzugten Handelsplatz für gestohlene Unternehmensdaten. Dieses verborgene Netzwerk ist nur mit spezieller Software in Form eines eigenen Browsers (TOR) zugänglich und bietet einen idealen Raum für illegale Aktivitäten und den Austausch sensibler Informationen. Ein großer Teil des Datenverkehrs wird dabei durch Botnetze erzeugt. Wir erläutern in diesem Artikel die Funktionsweise […]
-
- News
Common Vulnerabilities and Exposures: So schützen Sie Ihre IT-Infrastruktur
Zum BeitragCommon Vulnerabilities and Exposures (CVE) bildet seit 1999 das Fundament für die systematische Identifizierung und Katalogisierung von Sicherheitslücken in Software- und Hardwarekomponenten. Das CVE-Programm definiert Schwachstellen als „Schwächen in der Computerlogik von Software- und Hardwarekomponenten, die bei Ausnutzung negative Folgen für Vertraulichkeit, Integrität oder Verfügbarkeit haben können.“ Wir erläutern Ihnen, wie Common Vulnerabilities and Exposures […]
-
- News
Network Penetration Testing: Versteckte Schwachstellen in Ihrem System finden
Zum BeitragNetwork Penetration Testing ist ein systematischer Ansatz zur Identifizierung versteckter Schwachstellen in Computernetzwerken, Systemen und Webanwendungen, bevor Cyberkriminelle diese ausnutzen können. Es geht also darum, tatsächliche Angriffssimulationen durchzuführen. Während herkömmliche Sicherheitsprüfungen oft nur bekannte Schwachstellen auflisten, testet Network Penetration Testing aktiv die Ausnutzbarkeit dieser Sicherheitslücken und hilft Organisationen dabei, das Risiko kostspieliger Cyberangriffe zu minimieren. […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
Immer up to date:
unser IT-Forensik-Newsletter.
