In diesem Jahr feiern wir das 20-j\u00e4hrige Bestehen des Common Vulnerability Scoring System (CVSS), das sich zu einem allgemein akzeptierten Standard f\u00fcr die Beschreibung von Schwachstellen in Programmen entwickelt hat. Trotz jahrzehntelanger Nutzung und vier Generationen des Standards \u2013 jetzt in der Version 4.0 \u2013 werden CVSS-Bewertungsregeln weiterhin falsch genutzt, und das System selbst bleibt Gegenstand intensiver Diskussionen. Was musst du \u00fcber CVSS wissen, um deine IT-Ressourcen effektiv zu sch\u00fctzen?<\/p>\n
Nach Angaben der Entwickler<\/a> ist CVSS ein Werkzeug zur Beschreibung der Merkmale und des Schweregrads von Schwachstellen in Programmen. CVSS wird vom Forum of Incident Response and Security Teams (FIRST) verwaltet. Es wurde entwickelt, um Experten zu helfen, eine gemeinsame Sprache \u00fcber Schwachstellen zu sprechen, und um die automatische Verarbeitung von Daten \u00fcber Softwarefehler zu erleichtern. Fast jede Schwachstelle, die in gro\u00dfen Schwachstellen-Registern wie CVE<\/a>, EUVD<\/a> oder CNNVD<\/a> ver\u00f6ffentlicht wird, enth\u00e4lt eine Bewertung des Schweregrads basierend auf der CVSS-Skala.<\/p>\n Eine Bewertung besteht in der Regel aus zwei Hauptteilen:<\/p>\n Hier das Beispiel der hochgradig schweren und aktiv ausgenutzten Schwachstelle CVE-2021-44228 (Log4Shell): Basispunktzahl 10.0 (CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:H)<\/strong><\/p>\n Lass uns dies aufschl\u00fcsseln: Der Angriffsvektor ist netzwerkbasiert, die Komplexit\u00e4t des Angriffs ist gering, Erforderliche Berechtigungen: keine, keine Benutzerinteraktion erforderlich. Der Umfang gibt an, dass die Schwachstelle Auswirkungen auf andere Systemkomponenten hat, und die Auswirkungen auf die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit ist hoch. Ausf\u00fchrliche Beschreibungen der einzelnen Komponenten findest du in den Spezifikationen CVSS 3.1<\/a> und CVSS 4.0<\/a>.<\/p>\n Ein wesentlicher Bestandteil des CVSS-Systems ist die Bewertungsmethode, die auch als Rechner bekannt ist und sowohl f\u00fcr 4.0<\/a> als auch f\u00fcr 3.1<\/a> verf\u00fcgbar ist. Wenn du alle Vektorkomponenten ausf\u00fcllst, kannst du automatisch eine numerische Kritikalit\u00e4tsbewertung erhalten.<\/p>\n Die urspr\u00fcngliche CVSS-Berechnungsmethode umfasste drei Metrikgruppen: Base<\/strong>, Temporal<\/strong> und Environmental<\/strong>. Die erste Gruppe umfasst die grundlegenden und unver\u00e4nderlichen Merkmale einer Schwachstelle und bildet die Grundlage f\u00fcr die Berechnung des CVSS-Basiswerts. Zur zweiten Gruppe geh\u00f6ren Merkmale, die sich im Laufe der Zeit \u00e4ndern k\u00f6nnen, beispielsweise die Verf\u00fcgbarkeit von ver\u00f6ffentlichtem Exploit-Code. Die dritte Gruppe ist f\u00fcr die organisationsinterne Verwendung vorgesehen, um kontextspezifischen Faktoren wie dem Umfang der anf\u00e4lligen Anwendung oder dem Vorhandensein von Sicherheitskontrollen in der Infrastruktur des Unternehmens Rechnung zu tragen. In CVSS 4.0 haben sich die temporalen Metriken zu Bedrohungsmetriken<\/strong> entwickelt, und es wurde eine neue Gruppe von Erg\u00e4nzenden<\/strong> Metriken eingef\u00fchrt.<\/p>\n So sind die Metriken miteinander verbunden. Softwarehersteller oder Cybersicherheitsunternehmen bewerten in der Regel die Basiskritikalit\u00e4t einer Schwachstelle (in der Spezifikation 4.0 als \u201eCVSS-B\u201c bezeichnet). Sie bieten auch h\u00e4ufig eine Bewertung in Bezug auf die Verf\u00fcgbarkeit und Ver\u00f6ffentlichung eines Exploits (CVSS-BT in 4.0 und Temporal in 3.1). Diese Bewertung ist ein modifizierter Basiswert; daher kann CVSS-B h\u00f6her oder niedriger als CVSS-BT sein. Der Environmental Score (CVSS-BTE) wird innerhalb einer bestimmten Organisation auf der Grundlage des CVSS-BT berechnet, wobei Anpassungen an die jeweiligen Bedingungen der Verwendung der anf\u00e4lligen Software vorgenommen werden.<\/p>\n Die ersten beiden Versionen von CVSS, von 2005 und 2007, werden heute kaum noch verwendet. Auch wenn du m\u00f6glicherweise noch \u00e4ltere CVSS-Scores f\u00fcr moderne Schwachstellen findest, sind CVSS 3.1 (2019) und CVSS 4.0 (2023) die am h\u00e4ufigsten verwendeten Bewertungssysteme. Viele Softwarehersteller und Schwachstellen-Register haben es jedoch nicht eilig, Version 4.0 zu \u00fcbernehmen, und liefern weiterhin CVSS 3.1-Ergebnisse.<\/p>\n Die Kernidee der ersten CVSS-Version bestand darin, den Schweregrad von Schwachstellen mithilfe eines Bewertungssystems zu quantifizieren \u2013 mit einer anf\u00e4nglichen Trennung in die Metriken Basis, Temporal und Umgebung. In diesem Stadium waren die textlichen Beschreibungen lose formalisiert und die drei Gruppen von Metriken wurden unabh\u00e4ngig voneinander berechnet.<\/p>\n In CVSS 2.0 wurden eine standardisierte Vektorzeichenfolge und eine neue Logik eingef\u00fchrt: ein obligatorischer und unver\u00e4nderlicher Basiswert, ein Zeitwert, der aus dem Basiswert berechnet wird, aber sich \u00e4ndernde Faktoren ber\u00fccksichtigt, und ein Umgebungswert, der in bestimmten Organisationen und Bedingungen verwendet wird und entweder aus dem Basis- oder dem Zeitwert abgeleitet wird.<\/p>\n In den Versionen 3.0 und 3.1 wurde das Konzept des Umfangs (Auswirkungen auf andere Systemkomponenten) hinzugef\u00fcgt. Au\u00dferdem wurden die Parameter in Bezug auf die erforderlichen Berechtigungen und die Benutzerinteraktion genauer definiert und die Werte vieler Parameter verallgemeinert und verfeinert. Am wichtigsten ist, dass diese Versionen versucht haben, die Tatsache zu untermauern, dass CVSS den Schweregrad einer Schwachstelle misst und nicht die damit verbundenen Risiken.<\/p>\n In Version 4.0 wollten die Entwickler die CVSS-Metrik n\u00fctzlicher f\u00fcr die Bewertung der Auswirkungen von Schwachstellen auf das Risiko auf Business-Ebene machen. Dies ist jedoch immer noch keine Risikokennzahl. Die Angriffskomplexit\u00e4t wurde in zwei verschiedene Komponenten unterteilt: Angriffsanforderungen und Angriffskomplexit\u00e4t. Dies verdeutlicht den Unterschied zwischen der inh\u00e4renten technischen Schwierigkeit eines Angriffs und den externen Faktoren oder Bedingungen, die f\u00fcr den Erfolg des Angriffs erforderlich sind. In der Praxis bedeutet dies, dass ein Fehler, der eine bestimmte, nicht standardm\u00e4\u00dfige Konfiguration des auszunutzenden Produkts erfordert, h\u00f6here Angriffsanforderungen und folglich einen niedrigeren CVSS-Gesamtwert hat.<\/p>\n Die oft missverstandene Umfangsmetrik, die lediglich die Optionen \u201eja\u201c oder \u201enein\u201c f\u00fcr \u201eAuswirkungen auf andere Komponenten\u201c anbot, wurde ersetzt. Die Entwickler haben das Konzept der \u201eFolgesysteme\u201c klarer eingef\u00fchrt, das nun festlegt, welche Aspekte ihres Betriebs von der Schwachstelle betroffen sind. Dar\u00fcber hinaus wurde eine Reihe unterst\u00fctzender Indikatoren hinzugef\u00fcgt, z. B. die Automatisierbarkeit eines Exploits und die Auswirkungen des Exploits auf die k\u00f6rperliche Sicherheit des Menschen. Auch die Formeln selbst wurden erheblich \u00fcberarbeitet. Der Einfluss verschiedener Komponenten auf die numerischen Bedrohungskennzahl wurde auf der Grundlage einer umfangreichen Datenbank mit Schwachstellen und realen Daten \u00fcber Exploits neu bewertet.<\/p>\n F\u00fcr Cybersicherheitsexperten soll CVSS 4.0 praktischer und f\u00fcr die heutigen Realit\u00e4ten relevanter sein. Wir sind mit Zehntausenden von Schwachstellen konfrontiert, von denen viele einen hohen CVSS-Wert aufweisen. Dies f\u00fchrt oft dazu, dass sie in vielen Organisationen automatisch zur sofortigen Korrektur gekennzeichnet sind. Das Problem ist, dass diese Listen st\u00e4ndig wachsen und die durchschnittliche Zeit f\u00fcr die Behebung einer Schwachstelle fast sieben Monate<\/a> betr\u00e4gt.<\/p>\n Wenn Schwachstellen von CVSS 3.1 auf CVSS 4.0 neu bewertet werden<\/a>, steigt der Basiswert f\u00fcr Fehler mit einem Schweregrad zwischen 4.0 und 9.0 tendenziell leicht an. F\u00fcr Schwachstellen, die in CVSS 3.1 als kritisch eingestuft wurden, bleibt der Wert jedoch oft unver\u00e4ndert oder sinkt sogar. Noch wichtiger ist, dass, w\u00e4hrend Temporale Metriken zuvor nur wenig Einfluss auf die numerische Einstufung einer Schwachstelle hatten, der Einfluss von Bedrohungs- und Umgebungsmetriken jetzt viel signifikanter ist. Um dies zu veranschaulichen, hat Orange Cyberdefense eine Studie<\/a> durchgef\u00fchrt. Stell dir vor, ein Unternehmen betreibt das Tracking von 8000 Schwachstellen und seine IT- und Sicherheitsteams m\u00fcssen alle Fehler mit einem CVSS-Basiswert \u00fcber 8 innerhalb eines festgelegten Zeitraums beheben. Wie viel Prozent dieser 8000 Schwachstellen aus der realen Welt w\u00fcrden in diese Kategorie fallen \u2013 unabh\u00e4ngig davon, ob der Exploit der \u00d6ffentlichkeit zug\u00e4nglich gemacht wird oder nicht (zeitliche Anpassung \/ Anpassung an Bedrohungen)? Die Studie ergab, dass CVSS 4.0 in der Basisversion einem gr\u00f6\u00dferen Prozentsatz von Schwachstellen eine Punktzahl von 8 oder h\u00f6her zuweist (33 % gegen\u00fcber 18 % in Version 3.1). Bereinigt um die Verf\u00fcgbarkeit von Exploits sinkt diese Zahl jedoch erheblich, sodass weniger wirklich kritische Fehler priorisiert werden m\u00fcssen (8 % gegen\u00fcber 10 %).<\/p>\n Was ist der Unterschied zwischen einer \u201ekritischen\u201c Schwachstelle und einer einfach gef\u00e4hrlichen Schwachstelle? Eine textbasierte Beschreibung des Schweregrads ist Teil der Spezifikation \u2013 sie ist jedoch nicht immer in einer Schwachstellenbeschreibung erforderlich:<\/p>\n In der Praxis gehen viele Softwarehersteller mit diesen Textbeschreibungen kreativ um. Sie k\u00f6nnen die Namen \u00e4ndern oder eigene Bewertungen und Faktoren integrieren, die nicht im CVSS enthalten sind. Ein typisches Beispiel daf\u00fcr ist der Microsoft Patch Tuesday vom Juni \u2013 genauer gesagt CVE-2025-33064<\/a> und CVE-2025-32710<\/a>. Die erste wird als \u201eWichtig\u201c und die zweite als \u201eKritisch\u201c beschrieben, ihre CVSS 3.1-Werte liegen jedoch bei 8.8 bzw. 8.1.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Wir erkl\u00e4ren das Common Vulnerability Scoring System: Wozu es dient, wie es in der Praxis verwendet wird und warum die Basisbewertung nur der Anfang \u2013 nicht das Ende \u2013 der Schwachstellenbewertung ist.<\/p>\n","protected":false},"author":2722,"featured_media":32434,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3140,4213,1111,1498,3881,1654],"class_list":{"0":"post-32432","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ciso","9":"tag-cvss","10":"tag-patches","11":"tag-schwachstellen","12":"tag-strategie","13":"tag-tips"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-4-base-evolution\/32432\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-4-base-evolution\/12577\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-4-base-evolution\/28320\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-4-base-evolution\/31157\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-4-base-evolution\/29830\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-4-base-evolution\/40086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-4-base-evolution\/13555\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-4-base-evolution\/53825\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-4-base-evolution\/22979\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-4-base-evolution\/24009\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-4-base-evolution\/29378\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32432"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32432\/revisions"}],"predecessor-version":[{"id":32437,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32432\/revisions\/32437"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32434"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Die Entwicklung des CVSS<\/h2>\n
Wie CVSS 4.0 die Priorisierung von Schwachstellen ver\u00e4ndert<\/h2>\n
Kritisch, hoch und alles dazwischen<\/h2>\n
\n