Schwachstellen
In diesem Jahr feiern wir das 20-jährige Bestehen des Common Vulnerability Scoring System (CVSS), das sich zu einem allgemein akzeptierten Standard für die Beschreibung von Schwachstellen in Programmen entwickelt hat. Trotz jahrzehntelanger Nutzung und vier Generationen des Standards – jetzt in der Version 4.0 – werden CVSS-Bewertungsregeln weiterhin falsch genutzt, und das System selbst bleibt Gegenstand intensiver Diskussionen. Was musst du über CVSS wissen, um deine IT-Ressourcen effektiv zu schützen?
Der CVSS-Basiswert
Nach Angaben der Entwickler ist CVSS ein Werkzeug zur Beschreibung der Merkmale und des Schweregrads von Schwachstellen in Programmen. CVSS wird vom Forum of Incident Response and Security Teams (FIRST) verwaltet. Es wurde entwickelt, um Experten zu helfen, eine gemeinsame Sprache über Schwachstellen zu sprechen, und um die automatische Verarbeitung von Daten über Softwarefehler zu erleichtern. Fast jede Schwachstelle, die in großen Schwachstellen-Registern wie CVE, EUVD oder CNNVD veröffentlicht wird, enthält eine Bewertung des Schweregrads basierend auf der CVSS-Skala.
Eine Bewertung besteht in der Regel aus zwei Hauptteilen:
- Eine numerische Bewertung (CVSS-Score), die auf einer Skala von 0 bis 10 angibt, wie schwerwiegend die Schwachstelle ist. Eine Punktzahl von 10 bedeutet, dass es sich um eine äußerst gefährliche, kritische Schwachstelle handelt.
- Ein Vektor, bei dem es sich um eine standardisierte Textzeichenfolge handelt, die die wichtigsten Merkmale der Schwachstelle beschreibt. Dazu gehören Informationen darüber, ob die Schwachstelle remote über ein Netzwerk oder nur lokal ausgenutzt werden kann, ob erhöhte Berechtigungen erforderlich sind, wie komplex die Ausnutzung ist und welche Aspekte (wie Verfügbarkeit, Integrität oder Vertraulichkeit) des anfälligen Systems von der Ausnutzung betroffen sind.
Hier das Beispiel der hochgradig schweren und aktiv ausgenutzten Schwachstelle CVE-2021-44228 (Log4Shell): Basispunktzahl 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Lass uns dies aufschlüsseln: Der Angriffsvektor ist netzwerkbasiert, die Komplexität des Angriffs ist gering, Erforderliche Berechtigungen: keine, keine Benutzerinteraktion erforderlich. Der Umfang gibt an, dass die Schwachstelle Auswirkungen auf andere Systemkomponenten hat, und die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit ist hoch. Ausführliche Beschreibungen der einzelnen Komponenten findest du in den Spezifikationen CVSS 3.1 und CVSS 4.0.
Ein wesentlicher Bestandteil des CVSS-Systems ist die Bewertungsmethode, die auch als Rechner bekannt ist und sowohl für 4.0 als auch für 3.1 verfügbar ist. Wenn du alle Vektorkomponenten ausfüllst, kannst du automatisch eine numerische Kritikalitätsbewertung erhalten.
Die ursprüngliche CVSS-Berechnungsmethode umfasste drei Metrikgruppen: Base, Temporal und Environmental. Die erste Gruppe umfasst die grundlegenden und unveränderlichen Merkmale einer Schwachstelle und bildet die Grundlage für die Berechnung des CVSS-Basiswerts. Zur zweiten Gruppe gehören Merkmale, die sich im Laufe der Zeit ändern können, beispielsweise die Verfügbarkeit von veröffentlichtem Exploit-Code. Die dritte Gruppe ist für die organisationsinterne Verwendung vorgesehen, um kontextspezifischen Faktoren wie dem Umfang der anfälligen Anwendung oder dem Vorhandensein von Sicherheitskontrollen in der Infrastruktur des Unternehmens Rechnung zu tragen. In CVSS 4.0 haben sich die temporalen Metriken zu Bedrohungsmetriken entwickelt, und es wurde eine neue Gruppe von Ergänzenden Metriken eingeführt.
So sind die Metriken miteinander verbunden. Softwarehersteller oder Cybersicherheitsunternehmen bewerten in der Regel die Basiskritikalität einer Schwachstelle (in der Spezifikation 4.0 als „CVSS-B“ bezeichnet). Sie bieten auch häufig eine Bewertung in Bezug auf die Verfügbarkeit und Veröffentlichung eines Exploits (CVSS-BT in 4.0 und Temporal in 3.1). Diese Bewertung ist ein modifizierter Basiswert; daher kann CVSS-B höher oder niedriger als CVSS-BT sein. Der Environmental Score (CVSS-BTE) wird innerhalb einer bestimmten Organisation auf der Grundlage des CVSS-BT berechnet, wobei Anpassungen an die jeweiligen Bedingungen der Verwendung der anfälligen Software vorgenommen werden.
Die Entwicklung des CVSS
Die ersten beiden Versionen von CVSS, von 2005 und 2007, werden heute kaum noch verwendet. Auch wenn du möglicherweise noch ältere CVSS-Scores für moderne Schwachstellen findest, sind CVSS 3.1 (2019) und CVSS 4.0 (2023) die am häufigsten verwendeten Bewertungssysteme. Viele Softwarehersteller und Schwachstellen-Register haben es jedoch nicht eilig, Version 4.0 zu übernehmen, und liefern weiterhin CVSS 3.1-Ergebnisse.
Die Kernidee der ersten CVSS-Version bestand darin, den Schweregrad von Schwachstellen mithilfe eines Bewertungssystems zu quantifizieren – mit einer anfänglichen Trennung in die Metriken Basis, Temporal und Umgebung. In diesem Stadium waren die textlichen Beschreibungen lose formalisiert und die drei Gruppen von Metriken wurden unabhängig voneinander berechnet.
In CVSS 2.0 wurden eine standardisierte Vektorzeichenfolge und eine neue Logik eingeführt: ein obligatorischer und unveränderlicher Basiswert, ein Zeitwert, der aus dem Basiswert berechnet wird, aber sich ändernde Faktoren berücksichtigt, und ein Umgebungswert, der in bestimmten Organisationen und Bedingungen verwendet wird und entweder aus dem Basis- oder dem Zeitwert abgeleitet wird.
In den Versionen 3.0 und 3.1 wurde das Konzept des Umfangs (Auswirkungen auf andere Systemkomponenten) hinzugefügt. Außerdem wurden die Parameter in Bezug auf die erforderlichen Berechtigungen und die Benutzerinteraktion genauer definiert und die Werte vieler Parameter verallgemeinert und verfeinert. Am wichtigsten ist, dass diese Versionen versucht haben, die Tatsache zu untermauern, dass CVSS den Schweregrad einer Schwachstelle misst und nicht die damit verbundenen Risiken.
In Version 4.0 wollten die Entwickler die CVSS-Metrik nützlicher für die Bewertung der Auswirkungen von Schwachstellen auf das Risiko auf Business-Ebene machen. Dies ist jedoch immer noch keine Risikokennzahl. Die Angriffskomplexität wurde in zwei verschiedene Komponenten unterteilt: Angriffsanforderungen und Angriffskomplexität. Dies verdeutlicht den Unterschied zwischen der inhärenten technischen Schwierigkeit eines Angriffs und den externen Faktoren oder Bedingungen, die für den Erfolg des Angriffs erforderlich sind. In der Praxis bedeutet dies, dass ein Fehler, der eine bestimmte, nicht standardmäßige Konfiguration des auszunutzenden Produkts erfordert, höhere Angriffsanforderungen und folglich einen niedrigeren CVSS-Gesamtwert hat.
Die oft missverstandene Umfangsmetrik, die lediglich die Optionen „ja“ oder „nein“ für „Auswirkungen auf andere Komponenten“ anbot, wurde ersetzt. Die Entwickler haben das Konzept der „Folgesysteme“ klarer eingeführt, das nun festlegt, welche Aspekte ihres Betriebs von der Schwachstelle betroffen sind. Darüber hinaus wurde eine Reihe unterstützender Indikatoren hinzugefügt, z. B. die Automatisierbarkeit eines Exploits und die Auswirkungen des Exploits auf die körperliche Sicherheit des Menschen. Auch die Formeln selbst wurden erheblich überarbeitet. Der Einfluss verschiedener Komponenten auf die numerischen Bedrohungskennzahl wurde auf der Grundlage einer umfangreichen Datenbank mit Schwachstellen und realen Daten über Exploits neu bewertet.
Wie CVSS 4.0 die Priorisierung von Schwachstellen verändert
Für Cybersicherheitsexperten soll CVSS 4.0 praktischer und für die heutigen Realitäten relevanter sein. Wir sind mit Zehntausenden von Schwachstellen konfrontiert, von denen viele einen hohen CVSS-Wert aufweisen. Dies führt oft dazu, dass sie in vielen Organisationen automatisch zur sofortigen Korrektur gekennzeichnet sind. Das Problem ist, dass diese Listen ständig wachsen und die durchschnittliche Zeit für die Behebung einer Schwachstelle fast sieben Monate beträgt.
Wenn Schwachstellen von CVSS 3.1 auf CVSS 4.0 neu bewertet werden, steigt der Basiswert für Fehler mit einem Schweregrad zwischen 4.0 und 9.0 tendenziell leicht an. Für Schwachstellen, die in CVSS 3.1 als kritisch eingestuft wurden, bleibt der Wert jedoch oft unverändert oder sinkt sogar. Noch wichtiger ist, dass, während Temporale Metriken zuvor nur wenig Einfluss auf die numerische Einstufung einer Schwachstelle hatten, der Einfluss von Bedrohungs- und Umgebungsmetriken jetzt viel signifikanter ist. Um dies zu veranschaulichen, hat Orange Cyberdefense eine Studie durchgeführt. Stell dir vor, ein Unternehmen betreibt das Tracking von 8000 Schwachstellen und seine IT- und Sicherheitsteams müssen alle Fehler mit einem CVSS-Basiswert über 8 innerhalb eines festgelegten Zeitraums beheben. Wie viel Prozent dieser 8000 Schwachstellen aus der realen Welt würden in diese Kategorie fallen – unabhängig davon, ob der Exploit der Öffentlichkeit zugänglich gemacht wird oder nicht (zeitliche Anpassung / Anpassung an Bedrohungen)? Die Studie ergab, dass CVSS 4.0 in der Basisversion einem größeren Prozentsatz von Schwachstellen eine Punktzahl von 8 oder höher zuweist (33 % gegenüber 18 % in Version 3.1). Bereinigt um die Verfügbarkeit von Exploits sinkt diese Zahl jedoch erheblich, sodass weniger wirklich kritische Fehler priorisiert werden müssen (8 % gegenüber 10 %).
Kritisch, hoch und alles dazwischen
Was ist der Unterschied zwischen einer „kritischen“ Schwachstelle und einer einfach gefährlichen Schwachstelle? Eine textbasierte Beschreibung des Schweregrads ist Teil der Spezifikation – sie ist jedoch nicht immer in einer Schwachstellenbeschreibung erforderlich:
- Niedriger Schweregrad: 0.1–3.9
- Mittlerer Schweregrad: 4.0–6.9
- Hoher Schweregrad: 7.0–8.9
- Kritischer Schweregrad: 9.0–10.0
In der Praxis gehen viele Softwarehersteller mit diesen Textbeschreibungen kreativ um. Sie können die Namen ändern oder eigene Bewertungen und Faktoren integrieren, die nicht im CVSS enthalten sind. Ein typisches Beispiel dafür ist der Microsoft Patch Tuesday vom Juni – genauer gesagt CVE-2025-33064 und CVE-2025-32710. Die erste wird als „Wichtig“ und die zweite als „Kritisch“ beschrieben, ihre CVSS 3.1-Werte liegen jedoch bei 8.8 bzw. 8.1.
Tipps