Umfrage: Wie verlässlich ist das Common Vulnerability Scoring System?

Wissenschaftler der FAU Erlangen-Nürnberg wollen im Rahmen einer Studie herausfinden wie zuverlässig CVSS ist und wovon die Verlässlichkeit abhängt.

In Pocket speichern vorlesen Druckansicht
Umfrage: Wie verlässlich ist das Common Vulnerability Scoring System?

(Bild: BeeBright / Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Matthias Parbel

Die IT-Security-Forschungsgruppe der FAU Erlangen-Nürnberg hat eine Studie zum Common Vulnerability Scoring System (CVSS) auf den Weg gebracht. Erklärtes Ziel ist es, herauszufinden wie verlässlich CVSS ist und von welchen Faktoren die Verlässlichkeit abhängt, um den gegenüber CVSS erhobenen Kritikpunkten auf den Grund gehen zu können. Dazu wollen die Wissenschaftler auch Experten befragen, die in der Praxis CVSS für das Schwachstellen-Management einsetzen.

Über einen Online-Fragebogen können sich CVSS-Nutzer und -Experten an der nicht kommerziellen Studie der Universität beteiligen. Das Beantworten der Fragen dauert nach Einschätzung der Wissenschaftler im Durchschnitt rund 30 Minuten. Der Fragebogen bleibt noch bis Ende Januar online zugänglich.

Für die Kommunikation über Sicherheitslücken hat sich seit 1999 eine herstellerübergeifende, einheitliche Strategie zur Erfassung und Verwaltung von Schwachstellen etabliert: das CVE (Common Vulnerabilities and Exposures)-System erlaubt seither eine systematische Durchnummerierung. Um die Verwaltung des CVE-Systems kümmert sich die von der US-Sicherheitsbehörden CISA (Cybersecurity and Infrastructure Security Agency) und dem DHS (Department of Homeland Security) finanzierte gemeinnützige MITRE Corporation.

Gemeinsam mit weiteren sogenannten CVE Numbering Authorities (CNAs) erfasst MITRE gemeldete Schwachstellen und vergibt dafür CVE-IDs samt einer kurzen Beschreibung. Darauf basierende detailliertere Informationen liefert die National Vulnerability Database (NVD), in der sich unter anderen auch Hinweise zu Sicherheitsrisiken oder verfügbaren Updates finden. Zur einheitlichen Beschreibung von Schwachstellen-Eigenschaften nutzt die NVD das Common Vulnerability Scoring System (CVSS). Anhand vordefinierter Kriterien lassen sich damit beispielsweise Aussagen zu Angriffsweg, -komplexität oder Schweregrad ("Low" bis "Critical") treffen beziehungsweise zuweisen.

Mehr Details zu CVSS soll ein Hintergrundartikel liefern, den heise Security derzeit vorbereitet.

Mehr dazu

(map)