Software ist omnipräsent.
Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Fernseher oder Autos: In fast allem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer stärkeren Wertschöpfungsanteil dar und bieten ein enormes Potenzial für disruptive Innovationen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur gleichen Zeit wird Software aufgrund steigender Codebasis immer komplizierter – und somit anfälliger für Software-Fehler wie auch Software-Schwachstellen, welche nach dem Bekanntwerden schleunigst geschlossen werden sollten.
Allein 2021 wurden, dem aktuellen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) entsprechend, über 66.000 verifizierte Software-Schwachstellen gelistet.
Doch wie können Firmen und IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachpunkte, jene finden, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft sind und vorrangig behoben werden müssen?
Die Antwort lautet: Common Vulnerability Scoring System, kurz gesagt CVSS.
Was ist ein Common Vulnerability Scoring System eigentlich?
Beim Common Vulnerability Scoring System handelt es sich um einen Standard, der die Verwundbarkeit von IT-Systemen sowie den Grad von Software-Schwachstellen anhand bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Unternehmen in der Position die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Grad der Verwundbarkeit zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Fachgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine gebührenfreie und standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen bereitzustellen. Mittlerweile erfolgt die Weiterentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, kurz FIRST.
Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Die drei Metriken auf einen Blick!
Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mit Hilfe von drei Messungen, die als Metriken bezeichnet werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!
Das Common Vulnerability Scoring System definiert nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es strukturiert diese auch nach einem Punktesystem von 0 bis 10, bei dem der Rang bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.
Aufgrund dessen bedeutet ein CVSS-Score
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Einsatz des Common Vulnerability Scoring Systems bringt Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, alle Software-Schwachstellen vorrangig zu verschließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und einleuchtend, weil die Schwachstellen-Bewertung nach gleichen sowie universellen Kriterien erfolgt. Ein weiterer Vorteil liegt darin, dass sich der Standard auf verschiedene IT-Landschaften sowie IT-Systeme transferieren lässt. Außerdem gibt es Datenbanken, in welchen Firmen die Einstufungen identifizierter Software-Schwachstellen finden können.
Der Einsatz von Common Vulnerability Scoring Systemen lohnt sich!
Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Nachrichten über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, welche durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie effizientes Instrument, das Firmen dabei hilft, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Firmen Optimierungspotenziale besser auszuschöpfen.
Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns!