CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS ist eine standardisierte Methode, um zu sagen, wie schlimm ein Sicherheitsfehler ist. Es gibt jeder Schwachstelle eine Bewertung von 0 bis 10, damit Teams wissen, was zuerst behoben werden muss.

Stellen Sie es sich so vor:

• 0.0 → Kein Problem
• 10.0 → Alles stehen und liegen lassen und sofort beheben

Was ist CVSS?

CVSS ist ein kostenloses, weit verbreitetes Bewertungssystem für Sicherheitslücken. Es wird von einer Industriegruppe namens FIRST gepflegt und von nahezu jedem im Sicherheitsbereich verwendet.

Jede Schwachstelle erhält eine Zahl zwischen 0.0 und 10.0 basierend auf Faktoren wie:

• Wie einfach sie auszunutzen ist
• Ob sie aus der Ferne angegriffen werden kann
• Wie viel Schaden sie verursachen kann

Einfach ausgedrückt: CVSS ist ein Thermometer für Softwarefehler.

Warum CVSS wichtig ist

Ohne CVSS würde jeder die Schwere anders beschreiben. Ein Anbieter könnte einen Fehler als „kritisch“ bezeichnen, während ein anderer ihn als „mittel“ einstuft. CVSS gibt allen eine gemeinsame Sprache.

Es ist wichtig, weil:

• Es sagt Teams, was zuerst behoben werden muss Die meisten Unternehmen setzen Regeln wie: „Alles über 9.0 muss innerhalb von 48 Stunden behoben werden.“
• Es wird von Schwachstellendatenbanken verwendet Die National Vulnerability Database (NVD) weist fast jedem CVE CVSS-Bewertungen zu, wodurch Tools automatisch Tausende von Problemen sortieren können.
• Es beseitigt das Rätselraten Anstatt darüber zu streiten, wie schlimm sich ein Fehler anfühlt, zwingt CVSS dazu, konkrete Faktoren wie Ausnutzbarkeit und Auswirkungen zu betrachten.

Wie CVSS funktioniert

CVSS hat drei Arten von Bewertungen. Meistens sieht man nur die erste.

1. Basisbewertung (die, die jeder verwendet)

Diese misst, wie schlimm die Schwachstelle an sich ist, unabhängig davon, wo sie eingesetzt wird.

Es werden Fragen betrachtet wie:

• Kann dies über das Internet ausgenutzt werden?
• Ist es einfach oder schwierig durchzuführen?
• Benötigt der Angreifer ein Login?
• Müssen sie einen Benutzer täuschen?
• Was passiert, wenn es ausgenutzt wird? (Datendiebstahl, Systemübernahme, Ausfallzeit)

Dies ist die Bewertung, die man normalerweise in CVE-Listings sieht.

2. Zeitliche Bewertung (manchmal verwendet)

Diese passt die Bewertung basierend darauf an, was gerade jetzt passiert.

Zum Beispiel:

• Gibt es öffentlichen Exploit-Code? (Bewertung steigt)
• Gibt es einen verfügbaren Patch? (Bewertung sinkt)

3. Umweltbewertung (fortgeschritten, optional)

Diese passt die Bewertung an Ihre Umgebung an.

Zum Beispiel:

• Ist das System nur intern? (Weniger schwerwiegend)
• Enthält es Kundendaten? (Schwerwiegender)

Ein echtes Beispiel: Log4j

Log4j (Log4Shell) ist eine der bekanntesten Schwachstellen überhaupt.

Sein CVSS-Wert war 10.0 (Kritisch).

Warum?

• Es konnte aus der Ferne ausgenutzt werden
• Es erforderte kein Login
• Es war einfach auszunutzen
• Es ermöglichte vollständige Systemkompromittierung

Wer verwendet CVSS?

• Softwareanbieter, um zu erklären, wie ernst ein Fehler ist
• Sicherheitsteams, um sich auf die gefährlichsten Probleme zu konzentrieren
• Prüfer, um zu überprüfen, ob Schwachstellen rechtzeitig behoben werden

CVSS-Bewertungsbereiche (v3.1)

Hier ist, wie die Zahlen normalerweise übersetzt werden:

• 0.0 → Kein Problem
• 0.1–3.9 → Niedrig (später beheben)
• 4.0–6.9 → Mittel (bald beheben)
• 7.0–8.9 → Hoch (dringend beheben)
• 9.0–10.0 → Kritisch (sofort beheben)

Beste Praktiken (Wichtig)

• Verlassen Sie sich nicht allein auf CVSS CVSS misst Schweregrad, nicht Risiko. Ein kritischer Fehler auf einem ausgeschalteten Server stellt keine echte Bedrohung dar.
• Kombinieren Sie CVSS mit Wahrscheinlichkeit Paaren Sie CVSS mit EPSS, um zu sehen, welche Fehler tatsächlich wahrscheinlich ausgenutzt werden.
• Passen Sie an Ihre Umgebung an Ein Fehler auf einem Testserver ist nicht dasselbe wie ein Fehler in einer Produktionsdatenbank.
• Kennen Sie die Versionen CVSS v4.0 existiert, aber v3.1 wird heute immer noch am häufigsten verwendet.

Vermeiden Sie Alarmmüdigkeit

Sicherheitsprobleme zu finden, ist nur nützlich, wenn Ihr Team weiß, was zuerst behoben werden muss. Hunderte von Warnungen auf Ingenieure zu werfen, verbessert die Sicherheit nicht; es erzeugt Alarmmüdigkeit

Plexicus hilft, indem es Schwachstellen bewertet, sodass Ihr Team sich auf das konzentrieren kann, was wirklich wichtig ist. Anstatt jedes Problem gleich zu behandeln, verwendet Plexicus einige einfache Metriken zur Priorisierung.

1) Priorität

Was es bedeutet: Wie dringend dieses Problem wirklich ist

Priorität ist eine Bewertung von 0 bis 100, die alles in eine Zahl zusammenfasst:

• Technische Schwere (CVSS v4)
• Geschäftliche Auswirkungen
• Wie wahrscheinlich ist es, dass es ausgenutzt wird

Dies ist Ihre Aktionsliste. Sortieren Sie nach Priorität und beginnen Sie von oben.

• Priorität 85 → Alles stehen und liegen lassen und sofort beheben
• Priorität 45 → Wichtig, aber kann bis zum nächsten Sprint warten

Beispiel

Ein SQL-Injektionsproblem in einem internen Tool, das:

• Nur über das Unternehmens-VPN zugänglich ist
• Keine sensiblen Daten speichert

Bewertungen:

• CVSS v4: 8.2 (technisch ernst)
• Geschäftsauswirkung: 45 (internes Tool, begrenzte Exposition)
• Verfügbarkeit des Exploits: 30 (erfordert Anmeldung)
• Priorität: 48

Warum Priorität wichtig ist

Wenn man nur auf den CVSS-Score schaut, könnte man in Panik geraten, weil 8.2 beängstigend klingt. Die Priorität setzt das Problem in Kontext und sagt: „Das ist real, aber nicht dringend. Behebe es im nächsten Sprint.“

Das hält Teams fokussiert auf das tatsächliche Risiko, anstatt auf jeden hohen CVSS-Score zu reagieren.

2) Auswirkung

Was es bedeutet: Wie schlimm es wird, wenn dies ausgenutzt wird

Die Auswirkung wird von 0 bis 100 bewertet und spiegelt die geschäftlichen Konsequenzen wider, nicht nur die technischen. Es berücksichtigt Dinge wie:

• Sind Kundendaten betroffen?
• Ist dieses System kritisch für den Betrieb?
• Gibt es Compliance- oder regulatorische Risiken?

Beispiel

• SQL-Injektion in einer öffentlichen Kundendatenbank → Auswirkung 95
• Das gleiche Problem in einer internen Testumgebung → Auswirkung 30

Gleicher Fehler, sehr unterschiedliches Geschäftsrisiko.

3) EPSS

Was es bedeutet: Wie wahrscheinlich es ist, dass Angreifer dies ausnutzen

EPSS prognostiziert die Wahrscheinlichkeit, dass eine Schwachstelle in der realen Welt innerhalb der nächsten 30 Tage ausgenutzt wird. Es reicht von 0.0 bis 1.0.

Beispiel

• Eine alte Schwachstelle mit CVSS 9.0, aber keine aktiven Angriffe → EPSS 0.01
• Eine neuere Schwachstelle mit CVSS 6.0, die von Angreifern aktiv genutzt wird → EPSS 0.85

EPSS hilft Ihnen, sich auf das zu konzentrieren, was Angreifer gerade jetzt interessiert, nicht nur auf das, was auf dem Papier schlecht aussieht.

So verwenden Sie diese Metriken in Plexicus

1. Verbinden Sie Ihr Repository und warten Sie, bis der Scan abgeschlossen ist
2. Gehen Sie zur Findings-Seite
3. Sortieren und filtern Sie nach Priority, um zu entscheiden, was zuerst behoben werden soll

Verwandte Begriffe

• CVE (Common Vulnerabilities and Exposures)
• EPSS (Exploit Prediction Scoring System)
• Schwachstellenmanagement
• NVD (National Vulnerability Database)

CVSS FAQ

Was ist der höchste CVSS-Wert?

10.0. Das bedeutet, dass der Fehler leicht auszunutzen ist und großen Schaden verursacht.

Ist ein 9.0 immer schlimmer als ein 7.0?

Auf dem Papier ja. In der Realität nicht immer. Ein 7.0, der aktiv ausgenutzt wird, kann gefährlicher sein als ein 9.0, den niemand nutzt.

Wer legt den CVSS-Wert fest?

Normalerweise der Softwareanbieter oder die NVD. Manchmal tun dies auch Sicherheitsforscher.

Kann ich einen CVSS-Wert intern ändern?

Ja. Viele Teams passen die Werte an, um ihre reale Umgebung widerzuspiegeln, insbesondere wenn sie starke Schutzmaßnahmen haben.