Was ist CVSS (Common Vulnerability Scoring System)?

Das Common Vulnerability Scoring System (CVSS) ist ein Standard zur Bewertung der Kritikalität von Sicherheitslücken in Computersystemen und Netzwerken. CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC) in Auftrag gegeben, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Aktuell wird es vom Forum of Incident Response and Security Teams betreut.

Der CVSS bewertet Sicherheitslücken nach verschiedenen Kriterien, um eine einheitliche Bewertung dieser in unterschiedlichen Systemen zu ermöglichen, die Priorisierung von Maßnahmen zur Behebung dieser Schwachstellen zu erleichtern und sie insgesamt miteinander vergleichbar zu machen. CVSS bewertet Schwachstellen quantitativ auf einer Skala von 0 bis 10, wobei 10 die höchste Kritikalität darstellt. Im Einzelnen fließen 8 verschiedene Kategorien in die Wertung ein:

• Attack Vector (AV): Network, Adjacent, Local or Physical
• Attack Complexity (AC): Low or High
• Privileges Required (PR): None, Low or High
• User Interaction (UI): None or Required
• Scope (S): Unchanged or Changed
• Confidentiality Impact (C): None, Low or High
• Integrity Impact (I): None, Low or High
• Availability Impact (A): None, Low, or High

Am Ende erhält man nach mathematischer Berechnung einen Kritikalitätswert von z.B. 4,2 oder 5,3 - und kann die verschiedenen Schwachstellen dann anhand diesen Werten verlgeichen oder die Behebung priorisieren.

Der CVSS wird öfters von Kunden angefordert, um diese Vergleichbarkeit zu realisieren. In der Realität ist die Bewertung nach CVSS aber kritisch zu sehen. Zum einem fließt in die Bewertung der einzelnen Kategorien dennoch eine subjektive Einschätzung ein. Zum anderen täuscht die mathematische Zahl am Ende eine granulare Genauigkeit vor, die aber gar keine Aussagekraft vorweist. In den meisten Fällen führen die Kunden dann wiederum eine eigene Bewertung durch, was das ganze ad absurdum führt. Wir empfehlen eher gleich eine qualitative Risikobwertung durchzuführen.