CVSS: Einheitliche Klassifizierung von IT-Schwachstellen
Die Bewertung von Schwachstellen in IT-Lösungen ist ein komplexes Verfahren, das vor Benutzung eines Computersystems zwingend durchzuführen ist. Das Common Vulnerability Scoring System (CVSS) unterstützt bei der Einschätzung der Sicherheitsrisiken und dient somit als Orientierung für Nutzer:innen, die z.B. den Download einer Applikation in Erwägung ziehen. Doch was genau sagt das Bewertungssystem aus und wo liegen Vorteile und Grenzen?
Was ist der CVSS?
Beim CVSS handelt es sich um einen Industriestandard, mit dem sich die Verwundbarkeit von IT-Lösungen und die Schwere von Sicherheitslücken über ein Punktesystem von 0 bis 10 einheitlich bewerten lässt. Dadurch können Schwachstellen besser verstanden und einheitlich kommuniziert werden. Das CVSS stuft die Verwundbarkeit in die Kategorien „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ ein.
Schwachstellenanalyse im Penetrationstest
Der CVSS ist Teil einer Schwachstellenanalyse im Rahmen eines Penetrationstests (kurz: Pentest). Hierbei prüfen Pentester Systeme manuell auf Schwachstellen und nutzen Sicherheitslücken gezielt aus, um ein realistisches Bild des Sicherheitsniveaus zu zeichnen. Die Priorisierung der identifizierten Schwachstellen erfolgt mithilfe des CVSS. Dadurch kann eingeschätzt werden, inwiefern die erkannten Bedrohungen zu einer Datengefährdung bzw. einem Datenverlust führen.
Wie setzt sich das CVSS zusammen?
Das CVSS ist metrisch aufgebaut und basiert auf Werten, die in die drei Gruppen „Base“, „Temporal“ und „Environmental“ eingeteilt sind. Zur Bestimmung der Verwundbarkeitswerte folgt jede Gruppe eigenen Kriterien. Die Einstufungen sind numerische Werte auf einer Skala von 0,0 bis 10,0, wobei sich die schwerste Sicherheitslücke bei einem CVSS Score von 10,0 ergibt. Die numerischen Werte sind den Schweregraden „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ zugeordnet. Die Einstufung erfolgt nach folgendem Schema:
- keine Verwundbarkeit bei einem Score von 0,0
- niedrige Verwundbarkeit bei einem Score von 0,1 bis 3,9
- mittlere Verwundbarkeit bei einem Score von 4,0 bis 6,9
- hohe Verwundbarkeit bei einem Score von 7,0 bis 8,9
- kritische Verwundbarkeit bei einem Score von 9,0 bis 10,0
Wo liegen Vorteile und Grenzen?
Das CVSS ermöglicht die Priorisierung von Schwachstellen und den damit verbundenen Gegenmaßnahmen entsprechend dem Schweregrad der Verwundbarkeit. Da die Ermittlung des CVSS nach einheitlichen, universellen Kriterien erfolgt, sind die identifizierten Werte transparent und nachvollziehbar. Ein weiterer Vorteil liegt darin, dass sich das Bewertungssystem auf verschiedene Umgebungen und Systeme übertragen lässt. Pentester können zudem unterstützend Datenbanken nutzen, in denen die Einstufungen bekannter Schwachstellen notiert ist. Doch dem Bewertungssystem sind auch Grenzen gesetzt: So fehlt es hinsichtlich Größenordnung und Volumen an Detailgenauigkeit, da der Großteil der Schwachstellen in den höheren Schweregraden eingestuft werden. Zudem bieten bestimmte Kenngrößen, wie die Auswirkungen einer erfolgreich ausgenutzten Schwachstelle, Interpretationsspielraum und liegen im Ermessen des Pentesters.
Es bietet sich deshalb an, eine Risikoanalyse auf mehren Ebenen durchzuführen. APPVISORY bietet hierfür die Lösung: Die App Risk Management Suite prüft Anwendungen in statischen und dynamischen Analyseverfahren auf etwaige Sicherheitslücken. Zusätzlich besteht die Möglichkeit, manuelle Schwachstellenbewertungen entlang des CVSS durch Pentester durchführen zu lassen.
