CVSS (Common Vulnerability Scoring System)

CVSS verwendet einen Algorithmus, um drei unterschiedliche Werte für den Schweregrad einer Sicherheitslücke zu ermitteln: Base, Temporal und Environmental. Die Einstufungen sind numerisch und reichen von 0,0 bis 10,0, wobei 10,0 die schwerste Sicherheitslücke ist.

Die meisten Unternehmen berücksichtigen bei den Eigenschaften einer Sicherheitsanfälligkeit das Base-Rating. Der Temporal-Wert berücksichtigt das sich über die Zeit ändernde Gefährdungspotenzial der Sicherheitsanfälligkeit. Der Wert Environmental berücksichtigt die Auswirkungen der Sicherheitsanfälligkeit auf die IT-Umgebung. Gemäß der aktuellen Version des CVSS v3.0 bedeutet ein Score von 0,0 eine „None“-Bewertung, ein Score von 0,1 bis 3,9 bekommt die Wertung „Low“ und eine Punktzahl zwischen 4,0 und 6,9 ist gleichbedeutend mit dem Schweregrad „Medium“. Und ein Ergebnis zwischen 9,0 und 10,0 erhält eine „Critical“-Einstufung.

Mit Hilfe von CVSS können Unternehmen die Sicherheitslücken und somit auch deren Beseitigungen priorisieren. So lassen sich die Auswirkungen der Sicherheitsanfälligkeiten auf die Systeme einstufen. In den USA existiert die staatliche National Vulnerability Database, die Einstufungen für bekannte Schwachstellen enthält. Dabei unterscheidet sich die Bewertung des Schweregrades von der oben genannten Einstufung. Hierzulande findet sich beim Bundesamt für Sicherheit in der Informationstechnik die Schwachstellenampel, die eine Einstufung von Sicherheitslücken anzeigt.

Das Common Vulnerability Scoring System (CVSS) wurde im Jahr 2005 vom National Infrastructure Advisory Council eingeführt. Inzwischen kümmert sich das Forum of Incident Response and Security Teams (FIRST) um den Standard. Derzeit ist die im Juni 2015 eingeführte Version CVSS 3.0 aktuell. Da es ein freier und offener Standard ist, haben einige Hersteller wie Oracle ihre eigenen, angepassten Versionen von CVSS.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!