FAQ

Ja, es gibt einen offiziellen CVSS-Score-Rechner, der vom FIRST Standards Forum angeboten wird, das den CVSS-Standard pflegt. Er ist online unter folgender Adresse zugänglich: https://www.first.org/cvss/calculator.

Dieser Rechner ermöglicht es, einen Vektor durch Auswahl der relevanten Metriken zusammenzustellen und dann automatisch die Scores (Base, Temporal, Environmental) zu berechnen.

Ja, ein CVSS-Score kann sich im Laufe der Zeit ändern, insbesondere wenn neue Informationen auftauchen. Beispielsweise können ein öffentlicher Exploit, eine Umgehung eines Patches oder ein Nachweis einer aktiven Ausnutzung Analysten dazu veranlassen, den zeitlichen Score oder sogar den Basisvektor zu überarbeiten, wenn ein anfänglicher Bewertungsfehler festgestellt wird.

Darüber hinaus aktualisieren automatisierte Tools wie die des NVD die CVSS-Scores regelmäßig anhand von Felddaten und Veröffentlichungen. Es wird Unternehmen daher empfohlen, ihre Analysen regelmäßig zu überprüfen, insbesondere bei kritischen Schwachstellen.

Der CVSS-Score misst die intrinsische Schwere einer Schwachstelle, aber nicht ihre tatsächliche Ausnutzung oder ihre Relevanz in einer bestimmten Umgebung. Beispielsweise kann eine Schwachstelle einen hohen Score aufweisen, aber in Ihrer Infrastruktur kaum ausnutzbar sein, oder umgekehrt kann eine durchschnittliche Schwachstelle ein kritisches, nicht segmentiertes System angreifen.

Für eine genauere Risikobewertung ist es wichtig, zusätzliche Indikatoren zu integrieren, wie z. B.:

• Der EPSS-Score (Wahrscheinlichkeit der tatsächlichen Ausnutzung)
• Die Zugehörigkeit zur KEV-Liste (bestätigte Ausnutzung)
• Der geschäftliche oder technische Kontext der betroffenen Umgebung

Somit sollte der CVSS als ein Indikator für die Schwere betrachtet werden, und nicht als eine vollständige Messung des Risikos.

CVSS ist in drei Sub-Scores unterteilt:

• Basis-Score: bewertet die intrinsische Schwere der Schwachstelle, unabhängig von jeglichem Kontext. Er ist in der Regel öffentlich.
• Temporal-Score: passt die Bewertung basierend auf Faktoren wie der Verfügbarkeit eines Exploits oder eines Patches an. Er spiegelt die Reife der Bedrohung wider.
• Umgebungs-Score: ermöglicht es Organisationen, die Bewertung an ihren eigenen Kontext anzupassen (Bedeutung des Assets, Exposition, geschäftliche Auswirkungen). Er ist auf jedes Unternehmen zugeschnitten.

Durch die Kombination dieser drei Ebenen wird das CVSS-Modell zu einem flexibleren Werkzeug, mit dem die Behandlungs-Prioritäten entsprechend der Realität vor Ort verfeinert werden können.

Der CVSS-Score (Common Vulnerability Scoring System) misst den Schweregrad einer Schwachstelle, indem er ihr eine Punktzahl von 0 bis 10 zuweist, wobei 10 eine extrem kritische Schwachstelle darstellt. Er wurde entwickelt, um eine standardisierte und objektive Bewertung von Schwachstellen zu ermöglichen, damit Organisationen diese miteinander vergleichen und ihre Behebung priorisieren können.

Dieser Score berücksichtigt verschiedene Aspekte: die einfache Ausnutzbarkeit, die potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie die für den Angriff erforderlichen Bedingungen. Zusammenfassend lässt sich sagen, dass der CVSS hilft, das inhärente Gefahrenpotenzial einer Sicherheitslücke zu quantifizieren.

Die CVSS-Skala reicht von 0.0 bis 10.0, wobei jeder Wertebereich einem Schweregrad zugeordnet ist:

• 0.0: Keine Gefährdung
• 0.1 bis 3.9: Gering (Low)
• 4.0 bis 6.9: Mittel (Medium)
• 7.0 bis 8.9: Hoch (High)
• 9.0 bis 10.0: Kritisch (Critical)

Diese Klassifizierung ermöglicht es Unternehmen, Schwachstellen nach Schweregrad zu filtern, berücksichtigt jedoch nicht den spezifischen Kontext jedes Unternehmens. Aus diesem Grund müssen andere Kriterien wie aktive Ausnutzung oder betroffene Assets diese Bewertung ergänzen.

Der CVSS-Score wird in der Regel von der Organisation festgelegt, die die Schwachstelle veröffentlicht, häufig eine CNA (CVE Numbering Authority) oder der Hersteller der betroffenen Software. Ergänzend dazu berechnen oder passen Einrichtungen wie die NVD (National Vulnerability Database) die Scores manchmal neu an, um eine Kohärenz zwischen den veröffentlichten CVEs zu gewährleisten.

Automatisierte Tools ermöglichen es auch unabhängigen Forschern, SOC-Analysten oder Sicherheitsanbietern, einen Score auf der Grundlage des veröffentlichten CVSS-Vektors neu zu berechnen. Dies bedeutet, dass eine einzelne CVE je nach Kontext und Bewerter mehrere leicht unterschiedliche Scores haben kann, was dazu führt, dass für kritische Entscheidungen verschiedene Quellen miteinander verglichen werden müssen.