VULNERABILITY SCORE
Um die Schwere von Sicherheitslücken zu bewerten, gibt es seit 2005 das Common Vulnerability Scoring System (CVSS). Nun ist eine neue Version des Standards so gut wie fertig
Sicherheitslücken zu schließen ist die große Fleißaufgabe fürSoftware-Anbieter. Nutzer erleben das jeden Monat an Microsofts Patch-Tuesday, aber auch durch automatische Updates in den Browsern oder anderen Programmen. Die Rede ist dann oft von wichtigen oder kritischen Sicherheitslücken. Die genaue Bedeutung dieser Einschätzungen ist aber nur Experten klar. Für jede Sicherheitslücke wird in der Regel ein Zahlenwert nach dem Common Vulnerability Scoring System (CVSS) berechnet. Das standardisierte System zur Bewertung von Sicherheitslücken existiert seit 2005 und ist mehrfach an aktuelle Anforderungen angepasst worden. Das Ziel: CVSS soll eine objektive und einheitliche Einschätzung der Schwere von Sicherheitsproblemen erlauben.
Am Schluss soll für jedes Sicherheitsproblem ein Wert zwischen 0 und 10 stehen, sodass selbst Laien auf Anhieb erkennen, wie schwerwiegend die Probleme im Vergleich sind. Doch damit am Ende einfache, aber konsistente Zahlenwerte herauskommen, ist eine komplizierte Rechnung nötig (siehe rechts). CVSS definiert dafür drei grundlegende Metriken. Am häufigsten wird die Basisbewertung verwendet, die die grundlegenden Eigenschaften einer Schwachstelle abbilden soll: etwa, wie einfach sie sich ausnutzen lässt und welche Auswirkungen sie hat. Dazu gibt es noch eine zeitbezogene Bewertung sowie eine umgebungsbezogene Bewertung. Für jede dieser Metriken gibt es verschiedene Punkte, die zu berücksichtigten sind. Klappt ein Angriff über das Internet, wiegt er schwerer als eine Attacke, für die man direkt vor einem bestimmten PC sitzen
