Johanns IT

Software-Schwachstellen sind immer mehr ein globales und kollektives Problem der IT-Sicherheit. Unternehmen sind dazu angehalten, derartige nach dem Bekanntwerden prompt zu beheben. Dabei sollten sie sich jedoch zunächst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System hilft bei der Begutachtung und Bewertung und eignet sich somit als Orientierung. Wie das Common Vulnerability Scoring System im Einzelnen funktioniert und warum es für Unternehmen essenziell ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, einzeln zu ermessen, offenbaren wir Ihnen im folgenden Beitrag.

Software ist omnipräsent. 

Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Fernseher oder Autos: In fast allem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer stärkeren Wertschöpfungsanteil dar und bieten ein enormes Potenzial für disruptive Innovationen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum. 

Zur gleichen Zeit wird Software aufgrund steigender Codebasis immer komplizierter – und somit anfälliger für Software-Fehler wie auch Software-Schwachstellen, welche nach dem Bekanntwerden schleunigst geschlossen werden sollten. 

Allein 2021 wurden, dem aktuellen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) entsprechend, über 66.000 verifizierte Software-Schwachstellen gelistet.

Doch wie können Firmen und IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachpunkte, jene finden, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft sind und vorrangig behoben werden müssen?

Die Antwort lautet: Common Vulnerability Scoring System, kurz gesagt CVSS.

Was ist ein Common Vulnerability Scoring System eigentlich? 

Beim Common Vulnerability Scoring System handelt es sich um einen Standard, der die Verwundbarkeit von IT-Systemen sowie den Grad von Software-Schwachstellen anhand bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Unternehmen in der Position die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Grad der Verwundbarkeit zu priorisieren.

Entworfen wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Fachgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine gebührenfreie und standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen bereitzustellen. Mittlerweile erfolgt die Weiterentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, kurz FIRST.

Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.

Common Vulnerability Scoring System: Die drei Metriken auf einen Blick!

Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mit Hilfe von drei Messungen, die als Metriken bezeichnet werden:

die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik. 

  • Grundmetrik: Die Grundmetrik stellt alle intrinsischen Merkmale einer Software-Schwachstelle dar. Die Angaben sind zeitlich unveränderlich und sind in verschiedenen Benutzerumgebungen gleich. Im Generellen fügt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
  • Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Mittel wider, mit denen eine Software-Schwachstelle ausgebeutet werden kann. 
  • Die Auswirkungen-Metriken hingegen geben die direkten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, welcher die Folgen erleidet.
  • zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegenteil zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Laufe der Zeit, aber nicht über Benutzerumgebungen über ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt wie auch verfügbar werden. 
  • Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, die für die Umgebung eines bestimmten Benutzers relevant und einzigartig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, die etliche oder alle Konsequenzen eines gelungenen Internetangriffs abschwächen können sowie die relative Bedeutsamkeit eines verwundbaren IT-Systems inmitten einer technologischen Landschaft. 

Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!

Das Common Vulnerability Scoring System definiert nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es strukturiert diese auch nach einem Punktesystem von 0 bis 10, bei dem der Rang bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.

Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.

Aufgrund dessen bedeutet ein CVSS-Score 

  • von 0,0 keine Verwundbarkeit
  • zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
  • zwischen 4,0 und 6,9 eine mittlere Vulnerabilität 
  • zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
  • zwischen 9,0 und 10,0 eine kritische Vulnerabilität.

Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!

Der Einsatz des Common Vulnerability Scoring Systems bringt Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, alle Software-Schwachstellen vorrangig zu verschließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und einleuchtend, weil die Schwachstellen-Bewertung nach gleichen sowie universellen Kriterien erfolgt. Ein weiterer Vorteil liegt darin, dass sich der Standard auf verschiedene IT-Landschaften sowie IT-Systeme transferieren lässt. Außerdem gibt es Datenbanken, in welchen Firmen die Einstufungen identifizierter Software-Schwachstellen finden können.

Der Einsatz von Common Vulnerability Scoring Systemen lohnt sich!

Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Nachrichten über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, welche durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie effizientes Instrument, das Firmen dabei hilft, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Firmen Optimierungspotenziale besser auszuschöpfen.

Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement schrittweise ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns!