Was ist das Common Vulnerability Scoring System (CVSS)?

Das Common Vulnerability Scoring System (CVSS) ist ein weit verbreitetes Framework zur Klassifizierung und Bewertung von Software-Schwachstellen.

Mithilfe dieses offenen Frameworks können Unternehmen einen CVSS-Score berechnen, d. h. eine numerische Punktzahl, die den Schweregrad einer Sicherheitslücke darstellt. Die Merkmale einer Sicherheitslücke, die zum CVSS-Score beigetragen haben, werden in einer Textkette dargestellt, die als CVSS-Vektorstring bekannt ist.

Seit 2005 gibt es mehrere Versionen von CVSS. Die neueste Version, CVSS v4.0, wurde 2022 veröffentlicht. Die Non-Profit-Gruppe FIRST.org, Inc., auch bekannt als das Forum of Incident Response and Security Teams, verwaltet dieses Framework.

CVSS ist ein wichtiges Instrument für das Schwachstellenmanagement, d. h. die kontinuierliche Entdeckung, Priorisierung und Behebung von Sicherheitslücken in der IT-Infrastruktur und Software eines Unternehmens. Das Erkennen und Beheben von Fehlern und Cybersicherheitslücken, wie z. B. Firewall-Fehlkonfigurationen und ungepatchte Bugs, ist entscheidend für die Gewährleistung der vollen Funktionalität von IT-Infrastruktur und Software.

Lösungsmaßnahmen können Folgendes umfassen:

• Sanierung: Sicherstellen, dass eine Sicherheitslücke nicht mehr ausgenutzt werden kann.
  
• Schadensbegrenzung: Erschwerung der Ausnutzung einer Sicherheitslücke bei gleichzeitiger Reduzierung der potenziellen Auswirkungen.
  
• Akzeptanz: eine Schwachstelle bestehen lassen, wenn es unwahrscheinlich ist, dass sie ausgenutzt wird, oder wenn sie nur geringen Schaden anrichten würde.

Angesichts der Komplexität der heutigen IT-Systeme und ihrer großen Anzahl an Schwachstellen und Cyberbedrohungen kann es für IT-Manager eine Herausforderung sein, zu bestimmen, welche Probleme zuerst angegangen und behoben werden sollen.

Genau hier erweist sich CVSS als wertvoll: Es bietet IT-Managern einen systematischen Ansatz zur Bewertung des Schweregrads einer Sicherheitslücke und hilft ihnen bei der Entscheidung über die Priorisierung und Planung der Behebung von Sicherheitslücken für betroffene Systeme.¹

CVSS-Scores können in Risikobewertungen einbezogen werden, aber eine CVSS-Bewertung allein sollte nicht anstelle einer umfassenden Risikobewertung verwendet werden, so FIRST.org. In den CVSS-Benutzerhandbüchern wird darauf hingewiesen, dass bei umfassenden Bewertungen auch Faktoren berücksichtigt werden sollten, die nicht in den Anwendungsbereich von CVSS fallen.²

CVSS begann als Forschungsprojekt im Auftrag des National Infrastructure Advisory Council (NIAC) im Jahr 2003. Zu dieser Zeit war die Lage bei der Bewertung von Software-Sicherheitslücken noch sehr unübersichtlich: Anbieter von Computersicherheitslösungen und gemeinnützige Gruppen verwendeten unterschiedliche Verfahren und Metriken, was zu einer Reihe von einzigartigen, oft proprietären Bewertungssystemen führte, die untereinander nicht kompatibel waren.³ Diese Diskrepanz erschwerte die Zusammenarbeit der Sicherheitsteams verschiedener Unternehmen.⁴

NIAC-Forscher haben CVSS entwickelt, um die Bewertung von Sicherheitslücken zu standardisieren. Sie haben es als offenes System konzipiert, das für verschiedene IT-Systeme und -Umgebungen angepasst und übernommen werden kann.⁵

CVSS v4.0 besteht aus 4 Gruppen von Metriken.⁶

• Basis
• Bedrohung
• Umwelt
• Anhang

Diese metrischen Gruppen repräsentieren unterschiedliche Merkmale und Qualitäten von Software-Sicherheitslücken. Unter dem CVSS v4.0 Framework können die Gruppen wie folgt beschrieben werden:

Base-Metriken stellen die inhärenten Eigenschaften von Sicherheitsrisiken dar, die in verschiedenen Benutzerumgebungen und im Laufe der Zeit konstant sind. Die Base-Metriken bestehen aus 2 Gruppen: Ausnutzbarkeit und Auswirkungsmetriken.

Exploitability-Metriken zeigen an, wie leicht eine Sicherheitslücke erfolgreich ausgenutzt werden kann. Beispiele für Exploitability-Metriken:

• Misst, wie viel Benutzerinteraktion ein Angreifer benötigt, um eine Sicherheitslücke auszunutzen
• Bewertet, ob ein Angreifer lokal oder aus der Ferne auf ein System zugreifen kann („Angriffsvektor“)
• Bewertet, welches Maß an Berechtigungen ein Angreifer benötigt, um erfolgreich zu sein („erforderliche Berechtigungen“)
• Bewertet, ob bestimmte Bedingungen oder fortgeschrittene Kenntnisse erforderlich sind, um einen Angriff auszuführen („Angriffskomplexität“)

Auswirkungsmetriken stellen die Ergebnisse eines erfolgreichen Exploits dar, die Auswirkungen auf ein verwundbares System (z. B. eine Softwareanwendung oder ein Betriebssystem) und die nachgelagerten Auswirkungen auf andere Systeme. Beispiele für Impact-Metriken sind:

• Maßnahmen zum Verlust der Vertraulichkeit, wie z. B. der Zugang zu eingeschränkten Informationen
• Verlust der Integrität, z. B. wenn der Angreifer die Systemdaten verändert
• Auswirkungen auf die Verfügbarkeit, d. h. ob ein Angriff die Leistung eines Systems beeinträchtigt oder legitimen Benutzern den Zugang zum System verwehrt

Bedrohungsmetriken stellen die Merkmale der Sicherheitslücken dar, die sich im Laufe der Zeit ändern. Die Exploit-Maturity ist die wichtigste Kennzahl in dieser Kategorie. Sie misst die Wahrscheinlichkeit, dass eine bestimmte Sicherheitslücke angegriffen wird.

Die Verfügbarkeit von Exploit-Codes, der Stand der Exploit-Techniken und reale Angriffe bestimmen den Wert, der der Metrik für die Exploit-Maturity zugewiesen wird. Zu diesen Werten gehören:

• „Angegriffen“ (was bedeutet, dass Angriffe auf diese Sicherheitslücke gemeldet wurden)
• „Proof-of-Concept“ (was darauf hinweist, dass Exploit-Codes verfügbar sind, es jedoch keine Angriffe gegeben hat)
• „Nicht gemeldet“ (was darauf hinweist, dass keine Proof-of-Concept-Exploit-Codes bekannt sind oder versucht wurde, die Sicherheitslücke auszunutzen)

Wenn es keine zuverlässigen Threat-Intelligence zur Bestimmung des Reifegrads eines Exploits gibt, wird ein Standardwert – „nicht definiert“ – verwendet.

Die Gruppe der Environmental-Metriken steht für Sicherheitsmerkmale, die für die Umgebung eines Benutzers typisch sind. Wie die Gruppe der Base-Metriken umfasst auch die Gruppe der Environmental-Metriken Vertraulichkeit, Integrität und Verfügbarkeit, wobei jeder Metrik ein Wert zugewiesen wird, der die Bedeutung des gefährdeten Vermögenswerts im Unternehmen widerspiegelt. Dies steht im Gegensatz zum eigentlichen Fokus der Base-Metriken.

Darüber hinaus können Analysten über die Gruppe der Umweltmetriken verschiedene ursprüngliche Base-Metriken durch modifizierte Base-Metriken ersetzen, wenn die Situation in einer bestimmten Umgebung einen anderen Wert rechtfertigt.

Stellen Sie sich ein Szenario vor, in dem die Standardkonfiguration einer Anwendung eine Authentifizierung für den Zugriff erfordert, aber die Umgebung, in der die Anwendung zu Hause ist, keine Authentifizierung für Administratoren verlangt. In diesem Fall ist der ursprüngliche Basiswert für die Schwachstelle „Erforderliche Berechtigungen“ der Anwendung „hoch“, was bedeutet, dass für den Zugriff auf die Anwendung ein hohes Maß an Berechtigungen erforderlich ist. Der geänderte Wert für „erforderliche Berechtigungen“ wäre jedoch „keine“, da Angreifer die Sicherheitslücke theoretisch ausnutzen könnten, indem sie administrative Funktionen übernehmen.

Die Gruppe der ergänzenden Metriken liefert zusätzliche Informationen zu den äußeren Merkmalen von Schwachstellen und konzentriert sich dabei auf Aspekte, die über den technischen Schweregrad hinausgehen. Beispiele für ergänzende Metriken sind:

• „Automatisierbar“ (ob ein Angreifer die Schritte des Angriffs automatisieren kann, um mehrere Ziele zu erreichen)
• „Sicherheit“ (die Möglichkeit, dass ein Mensch durch die Ausnutzung einer Schwachstelle verletzt werden kann)
• „Recovery“ (wie gut sich ein System nach einem Angriff erholt)

CVSS-Versionen unterscheiden sich in den enthaltenen Metriken. Die Gruppe der ergänzenden Metriken ist zum Beispiel eine relativ neue Ergänzung zu CVSS. Frühere Versionen von CVSS (CVSS v1, CVSS v2, CVSS v3 und CVSS v3.1) enthielten diesen Satz von Metriken nicht.

Ältere CVSS-Versionen enthielten jedoch andere Metriken, wie z. B. „Report Confidence“ (Zuverlässigkeit der Berichterstellung) und „Remediation Level“ (Ebene der Sanierung), die zu einer Metrikgruppe namens „Temporal Metrics“ (Zeitliche Metriken) gehörten. Die Kategorie Bedrohungsmetriken von CVSS v4.0 hat die Gruppe der zeitlichen Metriken älterer Versionen ersetzt.

CVSS v4.0 gilt auch als granularer in seinen Base-Metriken, was ein umfassenderes Verständnis von Sicherheitslücken ermöglicht.

Die verschiedenen Arten von CVSS-Scores spiegeln die verschiedenen Metrikgruppen wider, die bei der Bewertung einer Sicherheitslücke berücksichtigt werden:

• CVSS-B bezieht sich auf CVSS Base Scores
• CVSS-BE bezieht sich auf Base Scores und Environmental Scores
• CVSS-BT bezieht sich auf CVSS Base Scores und Threat Scores
• CVSS-BTE bezieht sich auf die CVSS Base Scores, Threat Scores und Environmental Scores⁷

Alle Scores bewegen sich zwischen 0 und 10, wobei 0 der niedrigste und 10 der höchste mögliche Schweregrad ist. Die zusätzlichen Metriken haben keinen Einfluss auf die CVSS-Scores, können aber in CVSS v4.0 Vektorzeichenfolgen enthalten sein.

Unterschiedliche Einrichtungen priorisieren möglicherweise unterschiedliche Metrikgruppen und Scores. So geben beispielsweise Softwarehersteller häufig die Base-Scores ihrer Produkte an, während Verbraucherorganisationen sich auf Threat- und Environmental-Metriken verlassen, um die potenziellen Auswirkungen einer Sicherheitslücke in ihrer Umgebung anzugeben.⁸

CVSS-Vektorzeichenfolgen sind maschinenlesbare Textdarstellungen einer Gruppe von CVSS-Metriken für eine Sicherheitsanfälligkeit. Verschiedene Abkürzungen innerhalb von Vektorstrings entsprechen bestimmten Metriken und helfen dabei, den CVSS-Score dieser Sicherheitslücke zu kontextualisieren.⁹

Eine Sicherheitslücke mit dem „Angriffsvektor“-Wert „L“ (für „lokal“) würde beispielsweise „AV:L“ in ihrer Vektorzeichenfolge enthalten. Wenn diese Sicherheitslücke erfordert, dass ein Angreifer über ein hohes Maß an Rechten verfügt, um sie erfolgreich auszunutzen, wäre der Wert für „Privileges Required“ (Berechtigungen erforderlich) „H“ (für „hoch“) und die Vektorzeichenfolge würde „PR:H“ enthalten.

In einer Vektorzeichenkette wird jeder Wert durch einen Schrägstrich („/“) getrennt und muss in der vom CVSS-Framework vorgegebenen Reihenfolge aufgeführt werden. Die verschiedenen Werte aus den Gruppen Base, Threat und Environmental können zu 15 Millionen verschiedenen Vektorzeichenfolgen kombiniert werden.¹⁰

CVSS kann hilfreich sein, um bestimmte Arten von Cybersicherheitsschwachstellen zu bewerten, die häufig in KI-Anwendungen entdeckt werden, darunter Model Poisoning, Denial of Service oder die Offenlegung von Informationen. Laut FIRST.org könnte CVSS jedoch weniger hilfreich für KI-bezogene Schwachstellen sein, die sich hauptsächlich auf Verzerrtheit, Ethik oder rechtliche Bedenken beziehen. Solche Schwachstellen beziehen sich auf Inferenz, Modellinversion und Prompt Injection.¹¹

Während CVSS ein Framework zur Bewertung von Sicherheitslücken ist, ist CVE (eine Abkürzung für Common Vulnerabilities and Exposures) ein Glossar der öffentlich bekannt gewordenen Schwachstellen in der Cybersicherheit. Den im CVE-Programm enthaltenen Sicherheitslücken werden eindeutige Kennungen, sogenannte CVE-IDs, zugewiesen. Das Programm wird von der gemeinnützigen MITRE Corporation verwaltet und vom US-Heimatschutzministerium gesponsert.

Der Schweregrad der vom CVE-Programm katalogisierten Schwachstellen kann mit Hilfe des CVSS-Frameworks bewertet werden. Wenn es jedoch um CVE-veröffentlichte Schwachstellen geht, verzichten CVE-Unternehmen möglicherweise auf eigene Berechnungen und verlassen sich stattdessen auf CVSS-Scores, die von der National Vulnerability Database (NVD) bereitgestellt werden. NVD ist ein Standard-Repository für Daten zum Schwachstellenmanagement des National Institute of Standards and Technology (NIST). NVD hostet eine durchsuchbare Online-Datenbank mit Sicherheitslücken, die von CVE identifiziert wurden, gepaart mit zusätzlichen Informationen, einschließlich CVSS-Base-Scores und Vektorzeichenfolgen.

Unternehmen können Online-Rechner verwenden, um verschiedene Arten von CVSS-Scores zu ermitteln, einschließlich CVSS-Scores, die auf älteren Versionen von CVSS basieren. CVSS-Rechner sind auf den CVSS- und NVD-Websites verfügbar. Die CVSS-Dokumentation enthält die Empfehlung, dass Unternehmen automatisiert nach Bedrohungen suchen sollten, um den Bedrohungs- und Umweltmetriken in die Bewertung einzubeziehen.¹²

Unternehmen können auch die Vorteile von Tools und Plattformen zur Verwaltung von Sicherheitslücken nutzen, die CVSS-Bewertungen enthalten. Führende Softwarelösungen zur Bewertung von Sicherheitslücken verweisen auf CVSS-Scores unter mehreren Schlüsselfaktoren, darunter Compliance-Benchmarks, Sicherheitsleitfäden von Anbietern und Branchenforschung. Solche Lösungen könnten auch KI-gestützte Funktionen wie automatische Datenerkennung in Echtzeit beinhalten, die dazu beitragen können, die Reaktion auf Vorfälle und das Datenschutz-Management einer Organisation zu verbessern.