CVSS
Common Vulnerability Scoring System - standardisiertes Framework zur numerischen Bewertung von Sicherheitslücken (0-10). CVSS 4.0 (seit 2023) ergänzt den Base Score um Threat Score (aktive Exploits?) und Environmental Score (Kritikalität im eigenen Umfeld).
Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard zur Bewertung des Schweregrads von Sicherheitslücken. Es wird vom FIRST (Forum of Incident Response and Security Teams) gepflegt und in der aktuellen Version 4.0 (seit Oktober 2023) verwendet.
Entstehung und Versionshistorie
CVSS wurde ursprünglich 2005 beim National Infrastructure Advisory Council (NIAC) entwickelt und an das FIRST übergeben. Seitdem wurde es kontinuierlich weiterentwickelt:
- CVSS 1.0 (2005): Erster offener Standard zur einheitlichen Schwachstellenbewertung
- CVSS 2.0 / 3.0: Verfeinerung der Bewertungsmethoden für sich verändernde Bedrohungslandschaften
- CVSS 4.0 (2023): Berücksichtigung zeitlicher Faktoren, Cloud-Komplexitäten und umfangreicher Netzwerkumgebungen; bereits ausgenutzte Schwachstellen können mit höherer Dringlichkeit versehen werden
Berechnungsgrundlage
CVSS v4.0 bewertet Schwachstellen anhand mehrerer Metrik-Gruppen:
Base Score (unveränderlich, nur von der Schwachstelle selbst abhängig):
- Attack Vector (AV): Network (N), Adjacent (A), Local (L) oder Physical (P)
- Attack Complexity (AC): Low (L) oder High (H)
- Privileges Required (PR): None (N), Low (L) oder High (H)
- User Interaction (UI): None (N), Passive (P) oder Active (A)
- Impact auf CIA: Confidentiality, Integrity, Availability (None/Low/High)
Threat Score (kontextuell, abhängig von verfügbaren Exploits und Angriffsaktivität)
Environmental Score (unternehmensspezifisch, abhängig von der Kritikalität des betroffenen Systems - Confidentiality Requirement, Integrity Requirement, Availability Requirement)
CVSS-Vektorstring
Der Score wird als Vektorstring ausgegeben, der alle Bewertungen auf einen Blick lesbar macht:
CVSS:4.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDer Anfang zeigt die verwendete CVSS-Version. Jedes Kürzel steht für eine Metrik: AV:N bedeutet Attack Vector: Network, AC:L bedeutet Attack Complexity: Low usw. Pentester und Sicherheitsexperten weltweit lesen diese Notation ohne weitere Erklärung.
CVSS und CVE
CVSS und CVE werden oft zusammen verwendet, beschreiben aber unterschiedliche Dinge:
- CVE (Common Vulnerabilities and Exposures): Gibt einer Schwachstelle eine eindeutige Identifikationsnummer (z. B.
CVE-2023-12345). Die erste Zahl ist das Jahr, die zweite eine fortlaufende Nummer. CVEs stellen sicher, dass keine Verwechslungen oder Dopplungen entstehen. - CVSS: Bewertet den Schweregrad einer Schwachstelle numerisch. Zu jeder CVE gibt es typischerweise einen CVSS-Score.
Wer Pentest-Reports kennt, dem ist diese Kombination vertraut: Die CVE-Nummer identifiziert die Schwachstelle eindeutig, der CVSS-Score zeigt sofort deren Kritikalität.
Score-Interpretation
| Score | Schweregrad | Empfohlene Reaktionszeit |
|---|---|---|
| 9.0-10.0 | Kritisch | Sofort (< 24h) |
| 7.0-8.9 | Hoch | < 72 Stunden |
| 4.0-6.9 | Mittel | < 30 Tage |
| 0.1-3.9 | Niedrig | Nächstes Release |
| 0.0 | Keine | Keine |
Zero-Day-Schwachstellen erreichen nicht selten Scores über 8.0 oder gar 9.0, da sie aktiv ausgenutzt werden bevor ein Patch verfügbar ist. Das NIST stellt unter nvd.nist.gov einen Kalkulator bereit, mit dem sich CVSS-Scores für eigene Schwachstellenanalysen berechnen lassen.
CVSS im Penetrationstest
Bei Penetrationstests ist CVSS der industrieweite Standard zur Schwachstellenbewertung. AWARE7 verwendet CVSS 4.0 in allen Pentest-Reports:
- Jede gefundene Schwachstelle erhält einen CVSS-Score mit vollständigem Vektorstring
- Findings werden nach Score priorisiert - kritische Schwachstellen zuerst
- Der Score kommuniziert die Dringlichkeit verständlich an technische und nicht-technische Stakeholder
- Reports ermöglichen dem Kunden, Ressourcen gezielt auf die gefährlichsten Schwachstellen zu konzentrieren
Wichtige Einschränkung
Der CVSS-Score bewertet die technische Schwere einer Schwachstelle isoliert. Er berücksichtigt nicht die Geschäftskritikalität des betroffenen Systems, vorhandene Kompensationsmaßnahmen oder die tatsächliche Ausnutzbarkeit im spezifischen Unternehmensumfeld. Für eine praxisnahe Priorisierung sollte CVSS immer mit dem Environmental Score und Threat Intelligence kombiniert werden.
