2525251

Risikobestimmung per Common Vulnerability Scoring System (CVSS)

23.09.2020 | 13:02 Uhr | Arne Arnold

Ein weit verbreitetes System zur Bewertung von Sicherheitsrisiken in Software ist das Common Vulnerability Scoring System (CVSS).

CVSS legt in erster Linie das Risiko einer Lücke fest. Der Risikofaktor wird in Werten (Score) von 0,0 bis 10,0 angegeben, wobei 10 den höchsten Wert darstellt. Sicherheitsforscher können den CVSS-Score über einen Kalkulator berechnen. Sie müssen dabei lediglich in einem Website-Formular die Eigenschaften anklicken, welche die Sicherheitslücke hat und die Hürden benennen, die einer Ausnutzung im Wege stehen. 

Grundsätzlich gilt, dass Lücken mit einem CVSS-Score von 7 bis 10 auf jeden Fall beseitigt werden sollten. Denn ein Wert von 7,0 bis 8,9 gibt eine hohe Verwundbarkeit an und ein Wert von 9,0 bis 10,0 eine kritische Verwundbarkeit.

Der Common Vulnerability Scoring System Version 3.0 Calculator zeigt an, wie gefährlich eine Sicherheitslücke ist und gleichzeitig, wie hoch ihr Risiko ist.
Vergrößern Der Common Vulnerability Scoring System Version 3.0 Calculator zeigt an, wie gefährlich eine Sicherheitslücke ist und gleichzeitig, wie hoch ihr Risiko ist.

Für Werte von 4 bis 6 gilt typischerweise, dass sie sich nicht von extern, also über das Internet, ausnutzen lassen. Entsprechend kann man solche Sicherheitslücken zum Beispiel in einem Heimnetz temporär bestehen lassen. Eine Einzelprüfung des beschriebenen Fehlers ist trotzdem dringend angeraten. Werte unter 4 stellen in der Regel nur ein Problem dar, wenn sich zu ihnen weitere Schwachstellen gesellen und diese in der Kombination dann eine gefährliche Lücke ergeben. Eine ausführliche, englischsprachige Beschreibung zum Score-Wert finden Sie hier.

Tipp:   WLAN-Schwachstellen ermitteln und beheben

PC-WELT Marktplatz

2525251