Die wichtigsten Änderungen der neuen Schwachstellenbewertung CVSS 4.0
CVSS v4.0 löst Ende Oktober 2023 die Vorgängerversion 3.1 ab. Wer mit dem Bewertungssystem arbeitet, muss etwas umdenken - wir erklären, an welchen Stellen.
(Bild: Sashkin/Shutterstock.com)
Oberflächlich betrachtet bilden CVSS-Scores den Schweregrad einer Sicherheitslücke primär über einen Wert zwischen 0.0 ("None") und 10.0 ("Critical") ab. Dahinter steht mit dem Common Vulnerability Scoring System (CVSS) allerdings ein komplexes Bewertungssystem, das beim Errechnen des Scores zahlreiche Kriterien, sogenannte Metriken, einbezieht. Der resultierende CVSS-Vektor kann die wesentlichen Merkmale einer Schwachstelle differenziert beschreiben und IT-Verantwortliche letztlich dabei unterstützen, die Bedrohungslage richtig einzuschätzen und angemessen zu handeln.
Für den 31. Oktober 2023 ist mit CVSS 4.0 die Veröffentlichung einer neuen Version des de-facto-Standards geplant. Geschraubt hat das für CVSS verantwortliche Forum of Incident Response and Security Teams (FIRST), ein Zusammenschluss internationaler Sicherheits- und Incident-Response-Teams, sowohl an den Basis-Metriken als auch an den ergänzenden Metrikgruppen. Außerdem möchte es mit einer neuen Nomenklatur künftig eine deutlichere Abgrenzung zwischen Base Score und zusätzlichen Scores schaffen.
Wer mit CVSS arbeitet, muss sich nach dem Versionsupdate auf Änderungen sowohl beim Berechnen der Scores als auch beim Lesen und Interpretieren bestehender CVSS-Vektoren einstellen. Unser Artikel fasst anhand der öffentlichen Vorschau (Public Preview) auf v4.0 die für die praktische Anwendung wichtigsten Änderungen gegenüber der Vorgängerversion 3.1 zusammen. Zusätzlich verweist er auf weiterführende Quellen und Beispiele für alle, die sich noch tiefer in die Materie einarbeiten möchten beziehungsweise müssen. Bei Bedarf hilft der ältere heisec-Hintergrundartikel "Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS" beim Auffrischen des vorausgesetzten CVSS-Grundlagenwissens.
