CVSS (Common Vulnerability Scoring System)

Das Common Vulnerability Scoring System (CVSS) ist ein offener Industriestandard zur Bewertung des Schweregrads von Sicherheitslücken in IT-Systemen. Entwickelt und gepflegt vom Forum of Incident Response and Security Teams (FIRST), liefert CVSS einen numerischen Score zwischen 0,0 und 10,0 — wobei 10,0 die höchste Kritikalität darstellt. Die aktuelle Version ist CVSS v4.0, die im November 2023 veröffentlicht wurde und gegenüber ihrem Vorgänger v3.1 wesentliche Verbesserungen in der Bewertungsgenauigkeit einführt.

Aufbau des CVSS-Scores

CVSS v4.0 besteht aus vier Metrikgruppen, die unterschiedliche Aspekte einer Schwachstelle bewerten. Die Base-Metriken beschreiben die grundlegenden Eigenschaften einer Schwachstelle unabhängig von Zeit und Umgebung — etwa den Angriffsvektor (Netzwerk, lokal, physisch), die benötigten Privilegien und die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Threat-Metriken (in v3.1 noch "Temporal" genannt) erfassen, ob ein Exploit aktiv ausgenutzt wird. Die Environmental-Metriken ermöglichen eine Anpassung an die eigene IT-Umgebung. Neu in v4.0 sind die Supplemental-Metriken, die zusätzliche Kontextinformationen wie Automatisierbarkeit oder Auswirkungen auf die Sicherheit von Personen abbilden.

Schweregradskala

CVSS in der Praxis: CVE und Schwachstellenmanagement

Jede öffentlich bekannte Schwachstelle erhält eine CVE-Kennung (Common Vulnerabilities and Exposures) und wird in der Regel mit einem CVSS-Score bewertet. Schwachstellenscanner wie Tenable Nessus, Qualys oder OpenVAS nutzen diese Scores, um ihre Findings zu priorisieren. In einem typischen Schwachstellenbericht finden sich hunderte oder tausende Findings — ohne eine standardisierte Bewertungsskala wäre eine sinnvolle Priorisierung kaum möglich.

Allerdings sollte der CVSS-Base-Score nie isoliert betrachtet werden. Eine Schwachstelle mit Score 9,8 auf einem isolierten Testsystem ohne Internetanbindung stellt ein geringeres Risiko dar als eine Schwachstelle mit Score 6,5 auf einem öffentlich erreichbaren Server mit Zugriff auf Kundendaten. Genau hier setzen die Environmental-Metriken an: Sie erlauben eine Anpassung des Scores an den tatsächlichen Kontext der eigenen Infrastruktur.

Neuerungen in CVSS v4.0

CVSS v4.0 adressiert mehrere Schwächen seines Vorgängers. Die Unterscheidung zwischen Angriffen auf die verwundbare Komponente und auf nachgelagerte Systeme ist feiner differenziert. Die neue Supplemental-Metrikgruppe erfasst Aspekte wie die Wiederherstellbarkeit nach einem Angriff und die Gefährdung von Menschenleben — besonders relevant für OT-Umgebungen und kritische Infrastrukturen. Zudem wurde die Nomenklatur vereinheitlicht: Statt eines einzelnen "CVSS Score" gibt es nun explizite Bezeichnungen wie CVSS-B (Base), CVSS-BT (Base + Threat) und CVSS-BE (Base + Environmental), die transparent machen, welche Metrikgruppen in die Bewertung eingeflossen sind.

Relevanz für KMUs

Für mittelständische Unternehmen ist CVSS der Schlüssel zu einem effizienten Schwachstellenmanagement. Anstatt jede Schwachstelle mit gleichem Aufwand zu behandeln, ermöglicht der Score eine risikobasierte Priorisierung: Kritische Schwachstellen auf exponierten Systemen zuerst, niedrige Scores auf internen Systemen danach. Die Environmental-Metriken erlauben es auch ohne dediziertes Security-Team, den tatsächlichen Kontext in die Bewertung einzubeziehen. Wer regelmäßige Schwachstellenprüfungen durchführt und CVSS-Scores als Priorisierungsgrundlage nutzt, kann auch mit begrenzten Ressourcen die kritischsten Risiken gezielt adressieren.