CVSS (Common Vulnerability Scoring System) Kalkulator online

CVSS-Logo
Dieser CVSS-Kalkulator ist ein deutschsprachiges Tool zur Berechnung von IT-Sicherheitsrisiken gemäß CVSS (Common Vulnerability Scoring System). Er wird hier in dem Wunsch bereitgestellt, die Verbreitung von CVSS zu fördern. Das intuitiv zu bedienende Online-Formular eignet sich zur Berechnung aller drei CVSS Metric Groups (Base, Temporal und Environmental Metrics) und kann somit auch für eine Sicherheitsbewertung mit Bezug auf die eigene IT-Infrastruktur verwendet werden.
Die nachfolgenden Übersetzungen der Metric-Beschreibungen sind nicht vollständig und möglicherweise nicht ganz korrekt, daher ohne Gewähr. Im Zweifelsfall sollte das wesentlich umfangreichere englische Original zu Rate gezogen werden. Download des 23-seitigen PDFs: „CVSS - A Complete Guide to the Common Vulnerability Scoring System Version 2.0”

A) Berechnung des CVSS v2 Base Score:

Access Vector (AV) - Welcher Zugriff wird für den Angriff benötigt?

Local heißt, dass physischer Zugriff zum verwundbaren System bzw. einem lokalen (Shell-)Account benötigt wird. Beispiele: Angriffe auf die Peripherie, z.B. Firewire/USB, DMA-Angriffe oder lokale Rechteausweitungen (z.B. sudo). Adjacent Network heißt, dass der Angreifer Zugriff zur Broadcast- oder Kollisionsdomäne der verwundbaren Software hat. Beispiele: IP-Subnetze, Bluetooth, IEEE 802.11 oder lokale Ethernet-Segmente. Network heißt, dass für einen Angriff kein lokaler Zugriff oder Zugriff zu einem lokalen Netzwerk nötig ist, sondern er aus der Ferne erfolgen kann.

Access Complexity (AC) - Wie hoch ist die Komplexität des Angriffs?

High bedeutet, dass der Angriff sehr komplex ist. Beispiele: Der Angreifer muss bereits über erhöhte Zugriffsrechte verfügen oder Kenntnis von weiteren Systemen als dem angegriffenen haben. Der Angriff basiert auf Social Engineering-Methoden, die leicht durchschaut werden können. Die verwundbare Konfiguration ist unüblich. Falls der Angriff auf einer Race Condition basiert, ist deren Zeitfenster sehr klein. Medium steht für ein mäßig komplexes Angriffsszenario. Beispiele: Der Angreifer muss bestimmte Zugriffsrechte haben. Es sind Hintergrundinformationen für den Angriff notwendig. Bei der angegriffenen Konfiguration handelt sich um keine weit verbreitete Standardkonfiguration. Es sind für den Angriff Social Engineering-Methoden notwendig, die durch vorsichtige Beteiligte aufgedeckt werden können. Low heißt, dass der Angriff keine Spezialisierung benötigt. Beispiele: Auf das angegriffene System kann anonym und unauthentifiziert zugegriffen werden, wie zum Beispiel internetbasierte Web- oder Mail-Server.

Authentification (Au) - Wird für den Angriff Authentifizierung benötigt?

Multiple heißt, dass der Angreifer sich mehrfach authentifizieren muss, beispielsweise beim Zugriff auf ein Betriebssystem und zusätzlich beim Zugriff auf eine dort gehostete Applikation. Single heißt, dass nur ein einmaliger Nachweis der eigenen Identität nötig ist, bei None ist keine Authentifizierung nötig.

Confidentiality Impact (C) - Ist die Vertraulichkeit des Systems bedroht?

None heißt, dass die Sicherheitslücke keine Relevanz für die Vertraulichkeit des angegriffenen Systems hat. Partial heißt, dass ein erfolgreicher Angriff zu einem erheblichen Informationsleck führen kann. Der Schaden bleibt jedoch begrenzt, da der Angreifer keine Kontrolle darüber hat, welche Informationen verfügbar werden. Complete heißt, dass der Angreifer vollständigen Zugriff zu allen im System gespeicherten Informationen erhält.

Integrity Impact (I) - Ist die Integrität des Systems bedroht?

None heißt, dass die Sicherheitslücke keine Relevanz für die Integrität des angegriffenen Systems hat. Partial bedeutet, dass der Angreifer möglicherweise einige Dateien bzw. Informationen im angegriffenen System verändern kann. Der Angreifer kann jedoch nicht selbst bestimmen zu welchen Dateien er Zugriff hat oder er hat nur eingeschränkte Möglichkeiten zum Editieren von Dateien. Complete heißt, dass das angegriffene System komplett kompromittiert ist.

Availability Impact (A) - Ist die Verfügbarkeit des Systems bedroht?

None heißt, dass die Sicherheitslücke keine Relevanz für die Verfügbarkeit des angegriffenen Systems hat. Partial bedeutet, dass die Verfügbarkeit des angegriffenen Systems beeinträchtigt ist, beispielsweise durch einen zeitlich begrenzten DoS-Angriff. Complete heißt, dass die angegriffene Ressource komplett ausfällt.

B) Berechnung des CVSS v2 Temporal Score:

Der Temporal Score validiert das Gefährdungspotenzial in einem zeitlichen Kontext, d.h. dieser Score kann sich innerhalb von Stunden, Tagen oder Wochen verändern. Die Berechnung des Temporal Score ist optional. Falls er nicht verlangt wird, sollten die Felder „Not defined” ausgewählt bleiben.

Exploitablity (E) - Sind Exploits für die Sicherheitslücke verfügbar?

Dieses Metric gibt wieder ob Exploits für eine Sicherheitslücke bereits verfügbar sind. Unproven heißt, dass kein Exploit existiert. Proof-of-Concept heißt, dass unter Laborbedingungen die Effektivität eines Exploits bereits bewiesen wurde. Functional heißt, funktionierender Exploit-Code ist verfügbar. High bedeutet, dass eine Verwundbarkeit durch funktionellen, mobilen, autonomen Code (z.B. Viren) ausgenutzt werden kann, dass kein Exploit-Code notwendig ist, da ein manuelles Triggern bereits ausreicht.

Remediation Level (RL) - Gibt es bereits Gegenmaßnahmen?

Official Fix heißt, dass ein vollständiger Fix des Herstellers verfügbar ist. Ein Temporary Fix ist ein sog. Hotfix, der möglicherweise nicht vollständig ist oder unerwartete Nebeneffekte haben kann. Ein Workaround ist ein inoffizieller Hotfix, der nicht vom Hersteller stammt. Unavailable kennzeichnet das Fehlen geeigneter Gegenmaßnahmen.

Report Confidence (RC) - Wie verlässlich sind die Angaben?

Das Metric gibt die Vertrauenswürdigkeit von Angaben bezüglich einer Verwundbarkeit wieder. Unconfirmed heißt, dass nur eine einzige unbestätigte Quelle gibt oder mehrere, sich wiedersprechende Angaben. Auch Gerüchte aus der Hacker-Szene fallen unter diesen Begriff. Uncorroborated heißt unbestätigt. Es gibt verlässliche Quellen, aber eine Bestätigung des Herstellers steht noch aus. Confirmed ist eine Schwachstelle, wenn eine offizielle Bestätigung des Herstellers vorliegt oder beispielsweise der Mechanismus durch Dritte verlässlich (z.B. in Form eines Proof-of-Concept-Codes) veröffentlicht wurde.

C) Berechnung des CVSS v2 Environmental Score:

Der Environmetal Score stellt Bezug zur eigenen IT-Umgebung her, seine Berechnung ist optional. Falls er nicht verlangt wird, sollten die Felder „Not defined” ausgewählt bleiben.

Collateral Damage Potential (CDP) - Wie groß können Kollateralschäden werden?

Wie groß wäre der Kollateralschaden eines erfolgreichen Angriffs zu bewerten? Sind Gefahren für Menschenleben zu erwarten? Könnte eine Attacke zum Diebstahl von materiellen Gütern führen? Mit High würde hier beispielsweise bewertet, falls für das Unternehmen katastrophale materieller Schaden oder Verlust bzw. katastrophale Umsatz- oder Produktivitätsausfälle entstünden.

Target Distribution (TD) - Wie groß ist der Anteil der verwundbaren Systeme?

Wie groß ist der Anteil der verwundbaren Systeme im Verhältnis zur gesamten IT-Infrastruktur? Mit High würde hier beispielsweise bewertet, wenn der Anteil der verwundbaren Systeme bei 76-100% läge, mit Medium, wenn der Anteil bei 26-75% läge und mit Low bei einem Anteil zwischen 1 und 25%.

Security Requirements (CR) - Wie schwerwiegend ist die bedrohte Vertraulichkeit?

Dieses Metric bewertet den Confidentiality Impact des Base Score quantitativ, d.h. wie schwerwiegend ist eine unabsichtliche Offenlegung von Informationen zu bewerten? Mit High würde hier beispielsweise bewertet, falls für das Unternehmen essentielle Betriebsgeheimnisse preisgegeben würden.

Security Requirements (IR) - Wie schwerwiegend ist die bedrohte Integrität?

Dieses Metric bewertet den Integrity Impact des Base Score quantitativ, d.h. wie schwerwiegend ist eine Kompromittierung des Systems zu bewerten? Mit High würde hier beispielsweise bewertet, falls für das Unternehmen essentielle Datenbanken nicht mehr als verlässlich betrachtet werden könnten.

Security Requirements (AR) - Wie schwerwiegend ist die bedrohte Verfügbarkeit?

Dieses Metric bewertet den Availability Impact des Base Score quantitativ, d.h. wie schwerwiegend ist eine Unerreichbarkeit des Systems zu bewerten? Mit High würde hier beispielsweise der katastrophale Komplettausfall von Bestellsystemen bewertet, falls diese für das Unternehmen eine zentrale Rolle spielen.

Ich akzeptiere, dass für diesen Kalkulator keinerlei Gewährleistung übernommen wird:


Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!
Marc Stenzel

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS Sicherheitswarnungen, CMS Wissen abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.