SSVC (Stakeholder-Specific Vulnerability Categorization)
Entscheidungsframework zur kontextbasierten Priorisierung von Schwachstellen, das im Gegensatz zu rein numerischen Scores wie CVSS den organisationsspezifischen Kontext einbezieht.
Die Stakeholder-Specific Vulnerability Categorization (SSVC) ist ein Entscheidungsframework zur Priorisierung von Schwachstellen, das 2019 vom Software Engineering Institute (SEI) der Carnegie Mellon University entwickelt wurde. Im Gegensatz zum CVSS, der jeder Schwachstelle einen numerischen Schweregrad zuweist, liefert SSVC eine kontextabhängige Handlungsempfehlung — angepasst an die Rolle und Situation der betroffenen Organisation. CISA hat SSVC übernommen und nutzt das Framework seit 2022 für die Priorisierung in ihrem Known Exploited Vulnerabilities (KEV) Catalog.
Der Grundgedanke hinter SSVC ist, dass ein einzelner Zahlenwert den Umgang mit Schwachstellen nicht ausreichend steuern kann. Ein Score allein beantwortet nicht die Frage, ob eine Organisation jetzt handeln muss oder ob die Behebung bis zum nächsten Wartungsfenster warten kann. SSVC formalisiert genau diese Entscheidung.
Entscheidungsbaum statt Punktzahl
Das Kernprinzip von SSVC ist ein Entscheidungsbaum, der mehrere Faktoren systematisch durchläuft und am Ende eine konkrete Handlungsanweisung erzeugt. Je nach Stakeholder-Rolle — Hersteller (Supplier), Betreiber (Deployer) oder Koordinator — kommen unterschiedliche Entscheidungsbäume zum Einsatz. Für Unternehmen, die Software einsetzen, ist der Deployer-Baum relevant. Dieser bewertet vier zentrale Entscheidungspunkte:
Der Exploitation-Status erfasst, ob die Schwachstelle bereits aktiv ausgenutzt wird, ob lediglich ein Proof-of-Concept existiert oder ob keine bekannte Ausnutzung vorliegt. Die Automatisierbarkeit bewertet, ob sich ein Angriff ohne menschliche Interaktion skalieren lässt — ein entscheidender Faktor, denn automatisierbare Exploits verbreiten sich exponentiell schneller. Der Technical Impact unterscheidet zwischen partieller und vollständiger Kompromittierung des betroffenen Systems. Und der Human Impact bezieht ein, wie stark eine Kompromittierung den Geschäftsbetrieb und die Sicherheit von Personen beeinträchtigen würde — eine Kombination aus Mission Impact und Safety Impact.
Am Ende des Entscheidungsbaums steht eine von vier Handlungsempfehlungen: Defer — kein unmittelbarer Handlungsbedarf. Scheduled — Behebung im nächsten regulären Wartungsfenster. Out-of-Cycle — beschleunigte Behebung außerhalb des normalen Zyklus mit zusätzlichen Ressourcen. Immediate — sofortiger Einsatz aller verfügbaren Ressourcen, gegebenenfalls unter Unterbrechung des Normalbetriebs.
SSVC und CVSS: Komplementär, nicht konkurrierend
SSVC ersetzt CVSS nicht, sondern ergänzt es um die entscheidende Kontextebene. Ein CVSS-Score von 9,8 sagt aus, dass eine Schwachstelle technisch kritisch ist — aber nicht, ob sie in der eigenen Umgebung tatsächlich ausnutzbar ist oder ob die betroffenen Systeme geschäftskritische Prozesse tragen. SSVC schließt genau diese Lücke: Eine Schwachstelle mit hohem CVSS-Score auf einem isolierten Testsystem kann zu „Defer" führen, während eine Schwachstelle mit mittlerem Score auf einem öffentlich erreichbaren System mit aktiver Ausnutzung „Immediate" ergibt.
In der Praxis nutzen viele Organisationen den CVSS-Score als Eingangsgröße und wenden anschließend SSVC an, um die tatsächliche Handlungspriorität zu bestimmen. Dieser zweistufige Ansatz verbindet die Stärken beider Systeme: CVSS liefert die technische Einordnung, SSVC die operativ umsetzbare Entscheidung.
CISAs Einsatz von SSVC
CISA hat einen eigenen SSVC-Entscheidungsbaum entwickelt, der auf die Bedürfnisse von Behörden und Betreibern kritischer Infrastrukturen zugeschnitten ist. Die CISA-Variante verwendet die Entscheidungsergebnisse Track, Track*, Attend und Act und fließt direkt in die Priorisierung des KEV Catalogs ein. Damit ist SSVC nicht nur ein theoretisches Modell, sondern ein operativ eingesetztes Werkzeug einer der weltweit größten Cybersecurity-Behörden.
Der SSVC-Entscheidungsrechner von CISA ist öffentlich zugänglich unter cisa.gov/ssvc und ermöglicht es jeder Organisation, Schwachstellen anhand des CISA-Baums zu bewerten. Das zugehörige Open-Source-Projekt wird vom CERT Coordination Center auf GitHub gepflegt und kontinuierlich weiterentwickelt.
Relevanz für KMUs
Für mittelständische Unternehmen löst SSVC ein konkretes Problem: Schwachstellenscanner liefern regelmäßig hunderte Findings mit hohen CVSS-Scores, aber die Kapazitäten für Patching und Remediation sind begrenzt. SSVC ermöglicht eine systematische Priorisierung, die den eigenen Kontext berücksichtigt — welche Systeme sind exponiert, welche Schwachstellen werden aktiv ausgenutzt, welche Systeme tragen geschäftskritische Prozesse.
Auch ohne dediziertes Security-Team lässt sich der Deployer-Entscheidungsbaum mit überschaubarem Aufwand implementieren: Die vier Entscheidungspunkte sind klar definiert und erfordern keine tiefgreifende Security-Expertise. Gerade in Zeiten, in denen KI-gestützte Werkzeuge die Entdeckungsrate von Schwachstellen massiv beschleunigen, wird eine strukturierte Priorisierung zur Pflicht. In Kombination mit regelmäßigen Schwachstellenprüfungen entsteht ein risikobasierter Prozess, der knappe Ressourcen auf die tatsächlich kritischsten Lücken konzentriert.