Einstufung von Sicherheitslücken: Der CVSS-4.0-Standard ist da
Von niedrig bis kritisch: Das Common Vulnerability Scoring System (CVSS) hat einen Versionssprung vollzogen.
(Bild: Shutterstock / Skorzewiak)
Das Bewertungssystem für Sicherheitslücken CVSS wurde in der neuen Version 4.0 veröffentlicht. Das Common Vulnerability Scoring System hilft IT-Verantwortlich, die Bedrohungslage richtig einzuschätzen und entsprechend zu handeln. Die neue Ausgabe soll unter anderem durch zusätzliche Metriken noch handfestere Bewertungen liefern. Außerdem soll der Standard effektiver auf IoT-Geräte zugeschnitten sein.
Einschätzungshilfe
Hinter CVSS steht ein Zusammenschluss von internationalen Sicherheits- und Incident-Response-Teams, die sich im Forum of Incident Response and Security Team (FIRST) zusammengeschlossen haben. CVSS 4.0 löst den mittlerweile acht Jahre alten Vorgänger CVSS 3.0 ab. Die erste CVSS-Version erschien 2005.
Auf Basis verschiedener Metriken, etwa ob ein Angreifer authentifiziert sein muss oder Zugriff auf ein Netzwerk notwendig ist, setzen sich die CVSS Scores zusammen. Der höchstmögliche Score 10 von 10 bezeichnet eine "kritische" Sicherheitslücke, über die Angreifer in der Regel aus der Ferne ohne Authentifizierung Schadcode auf Systeme schieben und ausführen können. In so einem Fall sollten Admins umgehend handeln und Sicherheitsupdates installieren.
Umstellung
Wer mit dem Bewertungssystem arbeitet, muss sich auf Änderungen beim Berechnen des Scores einstellen. Die Anpassungen betreffen auch das Lesen und Interpretieren von CVSS Scores. So soll der angepasste Standard etwa über den Base Score hinaus die Bewertung des tatsächlichen Risikos, etwa wenn plötzlich ein Exploit in Umlauf ist, verbessern.
Was genau neu ist und welche Änderungen es gibt, haben wir im Hintergrundartikel "Die wichtigsten Änderungen der neuen Schwachstellenbewertung CVSS 4.0" zusammengefasst. Dort sieht man etwa die angepassten Metriken im Vergleich zu CVSS 3.1 in einer Grafik auf einen Blick.
(des)