{"id":2769,"date":"2012-04-24T13:44:01","date_gmt":"2012-04-24T11:44:01","guid":{"rendered":"http:\/\/www.media-deluxe.de\/blog\/?p=2769"},"modified":"2016-04-20T06:19:06","modified_gmt":"2016-04-20T04:19:06","slug":"cvss-common-vulnerability-scoring-system","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2012\/04\/cvss-common-vulnerability-scoring-system\/","title":{"rendered":"CVSS – Common Vulnerability Scoring System"},"content":{"rendered":"
\"CVSS-Logo\"<\/div>\n
CVSS (Common Vulnerability Scoring System) ist ein Framework zur Klassifizierung von Verwundbarkeiten bzw. Gef\u00e4hrdungspotenzialen in der IT. CVSS ist ein offenes Framework, das die Risikobewertungen nachvollziehbar macht. Und durch ein iteratives Berechnungssystem kann der CV-Score die tats\u00e4chliche Verwundbarkeit in Bezug auf die eigene IT-Umgebung widerspiegeln. <\/strong><\/div>\n

Anfang M\u00e4rz 2012 stellte das Bundesamtes f\u00fcr Sicherheit in der Informationstechnik<\/em> (BSI) seine Schwachstellenampel<\/em> ins Netz, gedacht als regelm\u00e4\u00dfig aktualisierter Indikator f\u00fcr Verwundbarkeiten in g\u00e4ngiger Software (siehe auch: Fragw\u00fcrdige BSI-Schwachstellenampel<\/a>). Genauso wie beim amerikanischen Vorbild, der National Vulnerability Database<\/em> des National Institute of Standards and Technology<\/em> (NIST), basieren die Verwundbarkeitsangaben des BSI auf dem Industriestandard CVSS.<\/p>\n

Funktionsweise des CVSS<\/h2>\n

Das Common Vulnerability Scoring System (deutsch etwa: Allgemeines System zur Verwundbarkeitsbewertung) berechnet die Verletzlichkeit eines Systems anhand der Bewertungen verschiedener Risikofaktoren (z.B. Komplexit\u00e4t eines Angriffs). Die 14 verschiedenen Risikofaktoren sind in die drei Gruppen Basisbewertung (Base Metric Group), Zeitkontext (Temporal Metric Group) und Umgebungskontext (Environmental Metric Group) gegliedert, wodurch sich Risikobewertungen sowohl in einem zeitlichen Rahmen als auch in Bezug zur eigenen IT-Umgebung ermitteln lassen. Das Ergebnis – sowohl jeder Gruppenkalkulation als auch des Gesamtergebnisses – ist eine Zahl zwischen 1 und 10. Damit das System transparent und \u00fcberpr\u00fcfbar bleibt, sollte solch ein Score stets mit dem zugeh\u00f6rigen Vektor, also der Wertzuweisung f\u00fcr jeden einzelnen Risikofaktor, ver\u00f6ffentlicht werden.<\/p>\n

Beispiel f\u00fcr eine CVSS-Bewertung<\/h2>\n

CVSS v2 Base Score: 2.1 (LOW) (AV:N\/AC:H\/Au:S\/C:N\/I:P\/A:N)<\/code><\/strong><\/p>\n

In diesem Beispiel wurde nur die Basisbewertung (also ohne Ber\u00fccksichtigung des zeitlichen und individuellen Kontextes) berechnet. Das Verwundbarkeitspotenzial ist insgesamt gering (Wert 2.1). Das Risiko \u201eAccess Vector\u201d (AV:) wurde mit N bewertet, was bedeutet, dass ein Angriff \u00fcber das \u00f6ffentliche Netz erfolgen kann. AC steht f\u00fcr \u201eAccess Complexity\u201d, die Bewertung H steht f\u00fcr \u201ehigh\u201d, es sind also mehrere komplexe Ma\u00dfnahmen f\u00fcr einen erfolgreichen Angriff notwendig. Au ist hier die Abk\u00fcrzung f\u00fcr \u201eAuthentification\u201d, die Bewertung S hei\u00dft, dass zu einem Angriff eine Authentifizierung n\u00f6tig ist. Schlie\u00dflich folgen noch Bewertungen f\u00fcr den \u201eConfidentialilty Impact\u201d (C), den \u201eIntegrity Impact\u201d (I) sowie den \u201eAvailability Impact\u201d (A).<\/p>\n

Die Formel zur Berechnung beispielsweise der Basisbewertung sieht so aus:<\/p>\n

BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)-1.5)*f(Impact))<\/code><\/p>\n

Impact und Exploitability wiederum ergeben sich folgenderma\u00dfen:<\/p>\n

Impact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))
\nExploitability = 20* AccessVector*AccessComplexity*Authentication<\/code><\/p>\n

Und so weiter. Die Berechnung ist komplex und aufw\u00e4ndig, es gibt jedoch CVSS-Kalkulatoren im Internet. Ein deutschsprachiger, intuitiv zu bedienender Kalkulator findet sich auf dieser Website:<\/p>\n