Definition
Das Common Vulnerability Scoring System (CVSS) ist ein standardisiertes Framework zur Bewertung des Schweregrads von Sicherheitslücken.
Überblick
Das Common Vulnerability Scoring System (CVSS) ist ein standardisiertes Framework zur Bewertung des Schweregrads von Sicherheitslücken. Durch die Vergabe numerischer Scores unterstützt CVSS Unternehmen dabei, potenzielle Auswirkungen zu verstehen, Maßnahmen zur Abhilfe zu priorisieren und konsistente Sicherheitsentscheidungen zu treffen. In der gesamten Cybersecurity-Branche weit verbreitet, ermöglicht das Common Vulnerability Scoring System (CVSS) Teams, mithilfe einer gemeinsamen Sprache über Risiken zu kommunizieren.
Was ist das Common Vulnerability Scoring System (CVSS)?
CVSS ist ein offener und herstellerneutraler Standard, der den Schweregrad von Software-Schwachstellen bewertet. Das System wird vom “Forum of Incident Response and Security Teams” (FIRST) gepflegt und von Security-Experten, IT-Teams und Softwareanbietern genutzt, um sicherzustellen, dass Schwachstelleninformationen konsistent gemessen und verglichen werden.
Mit anderen Worten: Wenn gefragt wird „Was ist das Common Vulnerability Scoring System?“, liefert CVSS die Antwort – eine universelle, herstellerneutrale Methode zur Bewertung des Schweregrads von Software-Schwachstellen. Ziel von CVSS ist es, die technischen Details einer Schwachstelle in einen leicht verständlichen Score zu übersetzen, damit Entscheidungsträger Ressourcen gezielt einsetzen und effektiv reagieren können.
Warum CVSS in der Cybersecurity wichtig ist
Security-Teams sehen sich häufig mit einer überwältigenden Anzahl von Schwachstellen konfrontiert und nicht jede weist dasselbe Risikoniveau auf. Ohne eine standardisierte Bewertungsmethode wäre es schwierig zu bestimmen, welche Probleme zuerst behoben werden sollten. CVSS sorgt für Konsistenz über verschiedene Anbieter und Tools hinweg, schafft Klarheit bei der Kommunikation von Risiken gegenüber Business-Stakeholdern und ermöglicht eine Priorisierung, sodass die kritischsten Schwachstellen schnell behoben werden.
In der Praxis wird CVSS häufig mit Tools für Schwachstellenscans kombiniert, die Schwachstellen in Anwendungen und Infrastrukturen identifizieren. Gemeinsam liefern Scans und Bewertungen Teams die nötige Transparenz und den Kontext, um fundierte Maßnahmen ohne Spekulationen zu ergreifen.
Komponenten des CVSS-Scores
CVSS-Scores basieren auf drei Metrikgruppen – Base, Temporal und Environmental. Zusammen bieten sie eine umfassende Bewertung des Schweregrads einer Schwachstelle, zeigen auf, wie sich ihr Risikoprofil im Zeitverlauf verändern kann, und bewerten ihre Relevanz für eine bestimmte Organisation.
Base-Metriken
Die Base-Metriken definieren die inhärenten Eigenschaften einer Schwachstelle, die sich im Zeitverlauf nicht ändern. Sie bewerten Faktoren wie die Frage, ob die Schwachstelle remote ausnutzbar ist oder physischen Zugriff erfordert, die Komplexität des Angriffs sowie die erforderlichen Berechtigungen eines Angreifers. Darüber hinaus messen Base-Metriken die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Temporale Metriken
Die temporalen Metriken passen den Base-Score an Bedingungen an, die sich im Laufe der Zeit verändern. Eine Schwachstelle kann als schwerwiegender eingestuft werden, wenn Exploit-Code öffentlich verfügbar ist, wenn keine ausgereiften Behebungsmaßnahmen existieren oder wenn Details noch unsicher sind.
Environmental-Metriken
Die Environmental-Metriken ermöglichen es Unternehmen, CVSS-Scores an ihren spezifischen Kontext anzupassen. Sie berücksichtigen den Wert betroffener Assets, geschäftliche Prioritäten sowie die Bedeutung von Vertraulichkeit, Integrität und Verfügbarkeit innerhalb eines bestimmten Systems.
Wie CVSS-Scores berechnet werden
Die CVSS-Formel kombiniert Base-, Temporal- und Environmental-Metriken zu einem numerischen Score zwischen 0,0 und 10,0. Ein Score von 0,0 bedeutet keine Schwere, 0,1 bis 3,9 gilt als niedrig, 4,0 bis 6,9 als mittel, 7,0 bis 8,9 als hoch und 9,0 bis 10,0 als kritisch.
Beispielsweise kann eine Remote-Code-Execution-Schwachstelle mit geringer Angriffskomplexität und hoher Auswirkung auf die Verfügbarkeit einen Score von über 9,0 erhalten. Diese kritische Einstufung signalisiert, dass eine sofortige Gegenmaßnahme erforderlich ist.
Versionen von CVSS
Seit seiner Einführung im Jahr 2005 wurde das Common Vulnerability Scoring System mehrfach grundlegend überarbeitet:
CVSS v1 war die erste Veröffentlichung und diente als Proof of Concept.
CVSS v2 (2007) etablierte eine standardisierte Bewertungsmethode, hatte jedoch Schwierigkeiten bei der Differenzierung komplexer Angriffsszenarien.
CVSS v3 (2015) behob viele dieser Einschränkungen durch präzisere Metriken für Benutzerinteraktion und Privilegien.
CVSS v3.1 (2019) konzentrierte sich auf mehr Klarheit und Konsistenz in der Terminologie, ohne die zugrunde liegende Formel zu ändern.
Für die Zukunft arbeitet die CVSS Special Interest Group (SIG) kontinuierlich an der Weiterentwicklung, um Cloud-native Anwendungen und moderne Software-Lieferketten besser zu berücksichtigen, oft in Kombination mit Software Composition Analysis (SCA).
Einschränkungen von CVSS
Obwohl CVSS ein wertvolles Instrument ist, weist es auch Einschränkungen auf. Scores können komplexe Schwachstellen vereinfachen und nicht immer den individuellen Kontext einer Organisation vollständig abbilden. In manchen Fällen kann ein hoher CVSS-Score ein geringes tatsächliches Risiko darstellen, wenn die betroffene Komponente beispielsweise nur selten genutzt wird.
Um diese Lücken zu schließen, ergänzen Security-Teams CVSS häufig durch weitere Methoden wie Threat Intelligence, Business-Impact-Analysen und Software Composition Analysis (SCA). Diese Ansätze liefern zusätzlichen Kontext – insbesondere beim Management von Risiken im Zusammenhang mit Open-Source- und Drittanbieter-Komponenten.
CVSS vs. EPSS: Schweregrad vs. Wahrscheinlichkeit
Der Hauptunterschied liegt in dem, was gemessen wird:
- CVSS (Schweregrad): Konzentriert sich auf die inhärenten Eigenschaften – „Wie schwerwiegend ist das?“
- EPSS (Wahrscheinlichkeit): Nutzt Machine Learning, um die Wahrscheinlichkeit einer Ausnutzung vorherzusagen – „Wie wahrscheinlich ist das?“
| Merkmal | CVSS | EPSS |
|---|---|---|
| Primäres Ziel | Misst den technischen Schweregrad | Sagt die Wahrscheinlichkeit einer Ausnutzung voraus |
| Score-Bereich | 0.0 to 10.0 | 0 to 1 (0% to 100%) |
| Aktualisierungsfrequenz | Statisch (pro Version) | Dynamisch (tägliche Aktualisierung) |
| Datenquelle | Technische Spezifikationen | Reale Threat-Telemetrie |
Warum man beides verwenden sollte
Durch die Kombination können Unternehmen fundiertere Entscheidungen treffen:
- Hoher CVSS + hoher EPSS: Sofort handeln (aktiv ausgenutzt).
- Hoher CVSS + niedriger EPSS: Beobachten (theoretisch gefährlich).
- Niedriger CVSS + hoher EPSS: Untersuchen (potenzielle Angriffskette).
- Niedriger CVSS + niedriger EPSS: Nachrangig behandeln.
CVSS und JFrog
CVSS-Scores bilden die Grundlage für eine effektive Priorisierung. JFrog Xray nutzt CVSS-Scoring, um Schwachstellen entlang der gesamten Software-Lieferkette zu identifizieren. Darüber hinaus verfügt JFrog über ein dediziertes Security-Research-Team, das neue Angriffsmethoden analysiert. Die neuesten CVE-Analysen finden Sie hier.
Durch die Kombination von CVSS-Daten mit Abhängigkeitsanalysen und Policy Enforcement ermöglicht JFrog es Teams, aus reinen Scores umsetzbare Sicherheitsentscheidungen abzuleiten.
Weitere Informationen finden Sie auf unserer Website, bei einer virtuellen Tour oder in einer persönlichen Demo.
