Neues Bewertungssystem für Schwachstellen

Das Common Weakness Scoring System (CWSS) soll Herstellern und Kunden künftig eine bessere Einschätzung geben, welche entdeckten Schwachstellen mit hoher Priorität geschlossen werden müssen. Ein während eines Code Audits gefundender Buffer Overflow wird ein geringerer CWSS-Wert zugewiesen, wenn etwa die dabei kopierten Daten nicht aus Nutzereingaben stammen können. Speicherlecks, die zum Absturz führen, werden noch geringer bewertet.

Ein ähnliche Einstufung von Lücken versucht das bereits seit einiger Zeit etablierte Common Vulnerability Scoring System (CVSS). In das CVSS-Rating fließen sowohl grundlegende Bewertungen (basic metrics) wie lokale oder entfernte Ausnutzbarkeit der Lücke ein als auch die Vertrauenswürdigkeit des Entdeckers oder zeitliche Komponenten (temporal metrics) wie die Verfügbarkeit eines Exploits. Auch die System-Umgebung der Lücke (environment metrics) wird bewertet, etwa die physische Auswirkungen oder die Anzahl möglicher verwundbarer Systeme.

Nach Angaben der CWSS-Autoren haben CWSS und CVSS durchaus parallelen, allerdings fehlten CVSS ausreichend organisatorische Parameter. In CWSS soll hingegen auch die Auswirkung auf unternehmenskritische Prozesse in die Bewertung eingehen. Zudem soll die Einstufung berücksichtigen, auf welche Art von Daten eine Lücke Zugriff ermögliche und ob man diese auslesen, verändern oder löschen könne. Anders als CVSS soll CWSS bereits während der Entwicklungsphase Anwendung finden können.

Das nun in Version 0.8 vorliegende Bewertungssystem wurde von MITRE entwickelt, die auch die eindeutige Zuordnung von Schwachstellen nach der Common Vulnerability Enumeration (CVE) entwickelt haben. CWSS wird vom Department of Homeland Security und der US-amerikanischen National Cyber Security Division (NCSD) gefördert. Dem CWSS wurde noch das Common Weakness Risk Analysis Framework (CWRAF) zur Seite gestellt, mit dem eine nachvollziehbare Einstufung möglich sein soll. (dab)