zurück zum Artikel

Umfrage: Wie verlÀsslich ist das Common Vulnerability Scoring System?

Matthias Parbel
Umfrage: Wie verlÀsslich ist das Common Vulnerability Scoring System?

(Bild: BeeBright / Shutterstock.com)

Wissenschaftler der FAU Erlangen-NĂŒrnberg wollen im Rahmen einer Studie herausfinden wie zuverlĂ€ssig CVSS ist und wovon die VerlĂ€sslichkeit abhĂ€ngt.

Die IT-Security-Forschungsgruppe der FAU Erlangen-NĂŒrnberg hat eine Studie zum Common Vulnerability Scoring System (CVSS) auf den Weg gebracht. ErklĂ€rtes Ziel ist es, herauszufinden wie verlĂ€sslich CVSS ist und von welchen Faktoren die VerlĂ€sslichkeit abhĂ€ngt, um den gegenĂŒber CVSS erhobenen Kritikpunkten auf den Grund gehen zu können. Dazu wollen die Wissenschaftler auch Experten befragen, die in der Praxis CVSS fĂŒr das Schwachstellen-Management einsetzen.

Über einen Online-Fragebogen [1] können sich CVSS-Nutzer und -Experten an der nicht kommerziellen Studie der UniversitĂ€t beteiligen. Das Beantworten der Fragen dauert nach EinschĂ€tzung der Wissenschaftler im Durchschnitt rund 30 Minuten. Der Fragebogen bleibt noch bis Ende Januar online zugĂ€nglich.

Was ist CVSS?

FĂŒr die Kommunikation ĂŒber SicherheitslĂŒcken hat sich seit 1999 eine herstellerĂŒbergeifende, einheitliche Strategie zur Erfassung und Verwaltung von Schwachstellen etabliert: das CVE (Common Vulnerabilities and Exposures)-System erlaubt seither eine systematische Durchnummerierung. Um die Verwaltung des CVE-Systems kĂŒmmert sich die von der US-Sicherheitsbehörden CISA (Cybersecurity and Infrastructure Security Agency) und dem DHS (Department of Homeland Security) finanzierte gemeinnĂŒtzige MITRE Corporation.

Gemeinsam mit weiteren sogenannten CVE Numbering Authorities (CNAs) erfasst MITRE gemeldete Schwachstellen und vergibt dafĂŒr CVE-IDs samt einer kurzen Beschreibung. Darauf basierende detailliertere Informationen liefert die National Vulnerability Database (NVD), in der sich unter anderen auch Hinweise zu Sicherheitsrisiken oder verfĂŒgbaren Updates finden. Zur einheitlichen Beschreibung von Schwachstellen-Eigenschaften nutzt die NVD das Common Vulnerability Scoring System (CVSS). Anhand vordefinierter Kriterien lassen sich damit beispielsweise Aussagen zu Angriffsweg, -komplexitĂ€t oder Schweregrad ("Low" bis "Critical") treffen beziehungsweise zuweisen.

Mehr Details zu CVSS soll ein Hintergrundartikel liefern, den heise Security derzeit vorbereitet.

Mehr dazu

Schubladen fĂŒr Schwachstellen: Das CVE-System im Überblick [2]

(map [3])

URL dieses Artikels:
https://www.heise.de/-5003805

Links in diesem Artikel:
[1] https://user-surveys.cs.fau.de/index.php?r=survey/index&sid=248857
[2] https://www.heise.de/hintergrund/Schubladen-fuer-Schwachstellen-Das-CVE-System-im-Ueberblick-4940478.html
[3] mailto:map@ix.de

Copyright © 2021 Heise Medien