ISGroup Cybersicherheitsberatung

Verständnis des CVSS und die Rolle der Base Metrics

Das Common Vulnerability Scoring System (CVSS) ist ein Standard zur Bewertung der Schwere von Software-Schwachstellen. Es unterstützt Cybersicherheitsexperten und IT-Verantwortliche dabei, Prioritäten für Minderungsmaßnahmen festzulegen. Das CVSS ist in drei Metrikgruppen unterteilt: Basis (Base Metrics), Zeitlich (Temporal Metrics) und Umgebung (Environmental Metrics). Dieser Artikel untersucht im Detail die Basismetriken, die den Kern der Schwachstellenbewertung bilden.

Was sind Basismetriken (Base Metrics)?

Die Basismetriken beschreiben die inhärenten Eigenschaften einer Schwachstelle, unabhängig vom Zeitpunkt ihrer Entdeckung oder der spezifischen Umgebung, in der sie sich befindet. Diese Metrikgruppe bietet eine standardisierte Bewertung der Schwere einer Schwachstelle und unterteilt sich in verschiedene Kategorien:

  • Angriffsvektor (Attack Vector – AV): Gibt die Distanz an, aus der ein Angreifer die Schwachstelle ausnutzen kann, z. B. über das Netzwerk, lokal oder physisch.
  • Angriffskomplexität (Attack Complexity – AC): Stellt den Schwierigkeitsgrad bei der Durchführung eines Angriffs unter Ausnutzung der Schwachstelle dar.
  • Erforderliche Privilegien (Privileges Required – PR): Bestimmt das Zugriffsniveau, das der Angreifer benötigt, um die Schwachstelle auszunutzen.
  • Benutzerinteraktion (User Interaction – UI): Gibt an, ob der Angriff eine Interaktion des Benutzers erfordert, um ausgeführt zu werden.
  • Auswirkung auf die Vertraulichkeit (Confidentiality Impact – C): Misst den Grad der Offenlegung sensibler Daten bei einem erfolgreichen Angriff.
  • Auswirkung auf die Integrität (Integrity Impact – I): Gibt an, ob die Schwachstelle es ermöglicht, Informationen zu verändern oder deren Zuverlässigkeit zu beeinträchtigen.
  • Auswirkung auf die Verfügbarkeit (Availability Impact – A): Bewertet den Grad der Unterbrechung von Diensten oder Ressourcen, die durch die Schwachstelle verursacht wird.

Bedeutung der Basismetriken (Base Metrics)

Die Basismetriken liefern eine erste Einschätzung des mit einer Schwachstelle verbundenen Risikos, unabhängig vom spezifischen Kontext. Das Verständnis dieser Werte ermöglicht es Unternehmen, Prioritäten im Schwachstellenmanagement und bei Minderungsentscheidungen zu setzen.

Angriffsvektor (Attack Vector – AV)

Der Angriffsvektor gibt die Art und Weise an, wie der Angreifer auf die Schwachstelle zugreift:

  • Netzwerk (Network): Die Schwachstelle kann aus der Ferne ausgenutzt werden.
  • Angrenzendes Netzwerk (Adjacent Network): Der Angriff kann nur innerhalb desselben Netzwerks erfolgen.
  • Lokal (Local): Erfordert lokalen Zugriff auf das System.
  • Physisch (Physical): Erfordert physischen Zugriff auf das anfällige Gerät.

Angriffskomplexität (Attack Complexity – AC)

Dieser Parameter misst die Schwierigkeit der Angriffsausführung:

  • Niedrig (Low): Der Angriff erfordert keine besonderen Bedingungen.
  • Hoch (High): Es sind technische Voraussetzungen oder spezifische Konfigurationen erforderlich.

Erforderliche Privilegien (Privileges Required – PR)

Definiert das für die Ausnutzung der Schwachstelle erforderliche Zugriffsniveau:

  • Keine (None): Der Angreifer benötigt keinerlei Privilegien.
  • Niedrig (Low): Es sind eingeschränkte Privilegien erforderlich.
  • Hoch (High): Es sind hohe oder administrative Privilegien erforderlich.

Einfluss der Basismetriken auf den CVSS-Score

Ein hoher CVSS-Score auf Basis der Basismetriken weist auf eine besonders kritische Schwachstelle hin, unabhängig vom Kontext. Die Integration mit zeitlichen und umgebungsbezogenen Metriken ermöglicht jedoch eine weitere Verfeinerung der Bewertung und die Bestimmung der tatsächlichen Auswirkungen auf die Unternehmenssicherheit.

Integration der Basismetriken in das Schwachstellenmanagement (Vulnerability Management)

Die Basismetriken bilden den Ausgangspunkt für die Priorisierung von Schwachstellen innerhalb eines Unternehmens. Um jedoch eine genauere Bewertung zu erhalten, ist es entscheidend, auch die zeitlichen und umgebungsbezogenen Metriken zu berücksichtigen.

Empfohlene Schritte:

  • Regelmäßige Überwachung der CVSS-Scores (Regularly Monitor CVSS Scores), um kritische Schwachstellen zu identifizieren.
  • Verwendung von Bewertungstools wie dem NIST CVSS-Rechner (Use Tools like the NIST CVSS Calculator), um eine genaue Analyse der Basismetriken zu erhalten.
  • Implementierung von Minderungsstrategien (Implement Mitigation Strategies) basierend auf der Schwere der Schwachstelle.

Häufig gestellte Fragen (FAQ)

Warum sind Basismetriken (Base Metrics) bei der Schwachstellenbewertung so wichtig?

Die Basismetriken stellen die erste Analyseebene einer Schwachstelle dar und liefern einen standardisierten Score, der den objektiven Vergleich verschiedener Bedrohungen ermöglicht.

Wie unterscheiden sich Basismetriken von anderen CVSS-Metrikgruppen?

Die Basismetriken bewerten ausschließlich die technischen Eigenschaften der Schwachstelle, ohne die zeitliche Entwicklung (Zeitliche Metriken) oder den spezifischen Kontext des Unternehmens (Umgebungsmetriken) zu berücksichtigen.

Wie beeinflussen Basismetriken die Priorisierung von Schwachstellen?

Ein hoher Score bei den Basismetriken deutet auf ein hohes potenzielles Risiko hin und hilft Unternehmen dabei festzulegen, welche Schwachstellen mit der höchsten Dringlichkeit angegangen werden müssen.

In

Leave a Reply

Your email address will not be published. Required fields are marked *