Was ist CVSS (Common Vulnerability Scoring System)?

CVSS

Das Common Vulnerability Scoring System (CVSS) ist ein Standard zur Bewertung der Kritikalität von Sicherheitslücken in Computersystemen und Netzwerken. CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC) in Auftrag gegeben, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Aktuell wird es vom Forum of Incident Response and Security Teams betreut.

Der CVSS bewertet Sicherheitslücken nach verschiedenen Kriterien, um eine einheitliche Bewertung dieser in unterschiedlichen Systemen zu ermöglichen, die Priorisierung von Maßnahmen zur Behebung dieser Schwachstellen zu erleichtern und sie insgesamt miteinander vergleichbar zu machen. CVSS bewertet Schwachstellen quantitativ auf einer Skala von 0 bis 10, wobei 10 die höchste Kritikalität darstellt. Im Einzelnen fließen 8 verschiedene Kategorien in die Wertung ein:

  • Attack Vector (AV): Network, Adjacent, Local or Physical
  • Attack Complexity (AC): Low or High
  • Privileges Required (PR): None, Low or High
  • User Interaction (UI): None or Required
  • Scope (S): Unchanged or Changed
  • Confidentiality Impact (C): None, Low or High
  • Integrity Impact (I): None, Low or High
  • Availability Impact (A): None, Low, or High

Am Ende erhält man nach mathematischer Berechnung einen Kritikalitätswert von z.B. 4,2 oder 5,3 - und kann die verschiedenen Schwachstellen dann anhand diesen Werten verlgeichen oder die Behebung priorisieren.

Der CVSS wird öfters von Kunden angefordert, um diese Vergleichbarkeit zu realisieren. In der Realität ist die Bewertung nach CVSS aber kritisch zu sehen. Zum einem fließt in die Bewertung der einzelnen Kategorien dennoch eine subjektive Einschätzung ein. Zum anderen täuscht die mathematische Zahl am Ende eine granulare Genauigkeit vor, die aber gar keine Aussagekraft vorweist. In den meisten Fällen führen die Kunden dann wiederum eine eigene Bewertung durch, was das ganze ad absurdum führt. Wir empfehlen eher gleich eine qualitative Risikobwertung durchzuführen.

binsec academy GmbH - Online IT Security Training with Practical Focus

Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.

Gehe zu binsec acadmy GmbH

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.

Gehe zu binsec GmbH

Kontakt

binsec GmbH
Solmsstraße 41
60486 Frankfurt am Main
Germany

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808