Bewertung von Sicherheitslücken

 Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS).Ende 2023 kam die neue Version des Standards heraus.

© Storyblocks, Registriert auf Andreas Wisler

Das standardisierte System zur Bewertung von Sicherheitslücken existiert seit 2005 und ist mehrfach an aktuelle Anforderungen angepasst worden. CVSS verwendet eine Reihe von Metriken, um die Auswirkungen einer Schwachstelle auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu bewerten sowie zusätzliche Faktoren wie den Grad der Zugriffskontrolle, die Komplexität der Ausnutzung und die erforderlichen Benutzerprivilegien. Basierend auf diesen Metriken wird jeder Schwachstelle ein numerischer Score zugewiesen, der die Schwere der Schwachstelle widerspiegelt. CVSS-Scores reichen von 0 bis 10, wobei höhere Werte auf schwerwiegendere Schwachstellen hinweisen. Darüber hinaus bietet CVSS eine umfassende Methode zur Dokumentation und Kommunikation von Schwachstellen, indem es eine standardisierte Sprache und Metriken verwendet, die von Sicherheitsfachleuten weltweit verstanden werden können. Dies erleichtert die Zusammenarbeit und den Informationsaustausch über Schwachstellen zwischen verschiedenen Organisationen und fördert eine effiziente und konsistente Reaktion auf Sicherheitsvorfälle.

Geschichte
  • Februar 2005: Hersteller nutzten vorher eigene Bewertungssysteme, CVSS 1.0 war der erste Versuch zur Vereinheitlichung
  • Juni 2007: CVSS 2 startet mit einer grossen Praxisbewertung echter Schwachstellen. Die Bewertung von Lücken ist genauer als beim Vorgänger
  • Juni 2015: CVSS 3 führt den Umfang einer Schwachstelle als Bewertungskriterium ein, auch Berechtigungen werden berücksichtigt
  • November 2023: Version 4 des CVSS-Standards soll mit verbesserten Metriken und ergänzenden Konzepten genauere Bewertungen erlauben

CVSS definiert drei grundlegende Metriken. Am häufigsten wird die Basisbewertung verwendet, die die grundlegenden Eigenschaften einer Schwachstelle abbilden soll: etwa, wie einfach sie sich ausnutzen lässt und welche Auswirkungen sie hat. Um festzustellen, wie schwer der Grad einer Schwachstelle wiegt und wie hoch der CVSS-Score entsprechend ausfällt, müssen bei der Berechnung verschiedene Kriterien berücksichtigt werden. Der Score besteht im Grunde aus drei Hauptkategorien: Basis, Zeit und Umgebung:

Die Basis-Metrik beschreibt, wie gefährlich eine IT-Sicherheitslücke ist und wie hoch das Potenzial ist, dass diese für Cyberangriffe ausgenutzt werden kann. Zur Berechnung werden die grundlegenden technischen Merkmale einer Schwachstelle herangezogen: Die Ausnutzbarkeit beschreibt zum Beispiel, unter welchen Voraussetzungen ein Angriff erfolgen kann. Mit der Auswirkung lässt sich das Ausmass eines Schadens ermitteln.

Die Basis-Metrik wird für jede Schwachstelle einmal festgelegt – in der Regel von der Person, die die Schwachstelle entdeckt, dem Hersteller des Produkts oder IT-Spezialisten.

Die zeitliche Metrik fasst zeitliche Veränderungen zusammen, die Einfluss auf die Gefährdung durch bestimmte Sicherheitslücken haben können. Diese Metrik kann sich zum Beispiel erhöhen, wenn mit einer Wahrscheinlichkeit definiert wird, ab wann eine zuvor nur beschriebene Schwachstelle tatsächlich auftritt. Über einen so genannten Report Confidence bestätigen Hersteller diese Schwachstelle und benennen sie anhand einer eindeutigen CVE (siehe nachfolgend). Um den zeitlichen Einfluss positiv zu beeinflussen, stellen viele Hersteller zusätzlich einen Patch zur Behebung des Problems zur Verfügung und senken somit die Bewertung.

Mit der Umgebungs-Metrik lassen sich die Werte konkret an die eigene IT-Architektur und Systemumgebung anpassen. Dafür ist es wichtig im Vorfeld zu analysieren, welche Systeme für einen störungsfreien Betrieb dringend notwendig sind. Diese werden in der Berechnung als relevante Faktoren berücksichtigt. Welche Massnahmen sind notwendig und bereits im Einsatz, um die eigene IT-Sicherheit zu erhöhen und vertrauliche Informationen zu schützen? Je nachdem, wie stark die Schutzziele durch einen Cyberangriff verletzt werden könnten, erhöht sich der CVSS-Score oder kann nachträglich abgesenkt werden.

Hinweis: Das Forum of Incident Response and Security Team hat unter https://www.first.org/cvss/v4-0/ alle Teilwerte ausführlich beschrieben. Unter https://www.first.org/cvss/calculator/4.0 ist zudem ein Rechner zu finden. Die verschiedenen Werte können ausgewählt und definiert werden.

Das Resultat wird in folgende Kategorien unterteilt:

Basis-Wert Sicherheitseinstufung
0 Keine
0.1 - 3.9Low, Niedrig
4.0 – 6.9Medium, Mittel
7.0 – 8.9High, Hoch
9.0 – 10Critical, Kritisch

Weil die Kürzel recht ähnlich aussehen, wird CVSS manchmal mit CVE verwechselt. Die Common Vulnerabilities and Exposures sind aber nur ein vereinheitlichtes Bezeichnungssystem für Schwachstellen, damit diese nicht mehrfach geführt werden. Eine Sicherheitsbewertung gibt es bei CVE nicht.

Während mit dem CVSS Risikofaktoren im IT-Bereich bewertet werden können, wird das Common Vulnerabilities and Exposure (CVE) genutzt, um bekannte Schwachstellen und Sicherheitslücken eines Systems oder Produkts eindeutig zu benennen. Mit einem festgelegten Muster sorgt das CVE-System dafür, dass es bei der Benennung der Gefahren zu keinen Dopplungen oder Verwechslungen kommt. Der Name setzt sich dabei aus dem Kürzel CVE, der Jahreszahl, in der das Problem entdeckt wird, sowie einer fortlaufenden Nummer zur genauen Identifizierung der Schwachstelle zusammen.

Die CVE sind in einer öffentlich zugänglichen Datenbank verfügbar, die von der Cybersecurity-Community verwendet wird, um Sicherheitslücken zu verfolgen, zu referenzieren und zu beheben. Die CVE-Datenbank wird von der gemeinnützigen Organisation MITRE Corporation verwaltet (siehe https://www.mitre.org/) und enthält Informationen über Sicherheitslücken in einer Vielzahl von Software- und Hardwareprodukten. Jede CVE-Eintragung enthält Details zur Schwachstelle, einschliesslich einer Beschreibung des Problems, der betroffenen Software oder Hardware, potenziellen Auswirkungen und Informationen darüber, wie die Schwachstelle behoben oder gemildert werden kann. Die Verwendung von CVE-Nummern erleichtert damit im Unternehmen die Koordination von Sicherheitspatches und die Priorisierung von Sicherheitsmassnahmen. Darüber hinaus unterstützt es Forscher bei der Analyse von Trends in der Sicherheitslandschaft und ermöglicht es Unternehmen, proaktiv gegen bekannte Schwachstellen vorzugehen, um ihre Systeme vor Cyberangriffen zu schützen.

Fazit: Mit CVSS steht eine einheitliche Berechnungsweise von Schwachstellen zur Verfügung. Bei hohen Werten muss schnell reagiert und der hoffentlich bereits verfügbare Patch eingespielt werden. Um Schwachstellen in Software zu suchen, kann die CVE-Datenbank genutzt werden, in welcher alle bekannt gewordenen Schwachstellen strukturiert abrufbar sind.

Quellen: Chip.de, dgc.org

Eine ausführliche Beschreibung ist unter https://www.heise.de/hintergrund/Die-wichtigsten-Aenderungen-der-neuen-Schwachstellenbewertung-CVSS-4-0-9318903.html zu finden.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

DIN SPEC 27076 - IT-Sicherheitsberatung für Klein-...
Schwachstellen korrekt melden - coordinated vulner...

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Freitag, 06. Dezember 2024

Captcha Image