Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen

ElementricaElementrica4 Min.
Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen

Ein hoher CVSS-Wert bedeutet nicht, dass eine Schwachstelle Sie wirklich bedroht. Ein niedriger bedeutet nicht, dass Sie sie ignorieren dürfen. CVSS ist ein nützlicher Standard zur Bewertung von Schwachstellen, aber als alleiniges Kriterium lenkt es Budget und Aufmerksamkeit Ihres Teams schnell an die falsche Stelle. Dieser Beitrag zeigt, wo CVSS versagt, was die Analyse von JFrog ergeben hat und wie Sie Schwachstellen näher am tatsächlichen Risiko priorisieren.

Was CVSS ist und wozu es entstand

Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard zur Bewertung des Schweregrads von Schwachstellen, gepflegt von der Organisation FIRST. Es gibt einer Lücke einen Zahlenwert, der bei der Reihenfolge des Patchens helfen soll.

Die von NIST betriebene NVD vergibt und veröffentlicht viele dieser Werte. Sicherheitsteams nutzen sie täglich, um die Dringlichkeit einzuschätzen. Das Problem beginnt, wenn die Zahl zum einzigen Kriterium einer Entscheidung wird.

Was die JFrog-Analyse ergab

2022 analysierte JFrog die 50 häufigsten Schwachstellen (CVE) in Open-Source-Software und verglich die öffentlichen CVSS-Werte mit der eigenen Einschätzung der tatsächlichen Auswirkung. Die Abweichungen waren groß.

  • Überhöhter Schweregrad. In 64 Prozent der Fälle war die tatsächliche Auswirkung geringer, als der NVD-Wert vermuten ließ. Unternehmen stecken also Ressourcen in Lücken, die in ihrer Umgebung wenig bedeuten.
  • Beispiel CVE-2022-3602. Diese Schwachstelle in der Prüfung von X.509-Zertifikaten galt zunächst als kritisch. Eine genauere Analyse zeigte eine marginale Auswirkung, weil die tatsächliche Ausnutzung sehr schwierig war.
  • Unterschätzte Lücken. Ein Teil der verbreiteten, in der Praxis gefährlichen Schwachstellen hatte niedrige CVSS-Werte. Solche Lücken werden aufgeschoben und werden mit der Zeit zu einem echten Angriffsvektor.

Warum der Wert allein nicht reicht

Die Grenzen von CVSS haben drei Ursachen.

  • Fehlender Kontext. Derselbe Fehler ist etwas anderes in einem isolierten internen System als in einem Dienst, der ins Internet exponiert ist. Der CVSS-Basiswert sieht das nicht.
  • Vereinfachte Angriffskomplexität. Eine Lücke, die fortgeschrittenes Wissen oder die Verkettung mit einem anderen Fehler erfordert, kann einen hohen Wert bekommen, obwohl sie allein schwer auszunutzen ist.
  • Statisches Modell. Der Wert ändert sich nicht mit der Zeit. Eine neue Angriffstechnik erhöht das reale Risiko, ein verfügbarer Patch senkt es, doch die Zahl bleibt gleich, bis jemand sie von Hand aktualisiert.

Was das für Ihr Unternehmen bedeutet

Sich ausschließlich an CVSS-Werten zu orientieren, hat einen messbaren Preis:

  • Sie patchen weniger wichtige Lücken, während gefährlichere in der Warteschlange stehen,
  • das Sicherheitsbudget fließt dorthin, wo es das reale Risiko nicht senkt,
  • Schwachstellen mit niedrigem Wert, aber hoher realer Auswirkung bleiben monatelang im System.

CVSS 4.0 und die Richtung der Änderungen

Die neuere Version des Standards, CVSS 4.0, soll auf einen Teil dieser Probleme antworten. Sie ergänzt unter anderem Dringlichkeitsbewertungen der Produkthersteller sowie Kennzahlen, die Umgebungsbedingungen und die Reife eines Exploits berücksichtigen.

Die Autoren des Standards räumen selbst ein, dass CVSS keine vollständige Lösung ist. Es ist eines von mehreren Werkzeugen, das Sie mit einer Bedrohungsanalyse und der Kenntnis Ihrer eigenen Umgebung verbinden müssen.

Wie Sie Schwachstellen sinnvoll priorisieren

  • Bewerten Sie im Kontext. Berücksichtigen Sie, wo das System läuft, wie es exponiert ist und wie kritisch die Daten sind, die es verarbeitet.
  • Halten Sie die Bewertung aktuell. Verfolgen Sie, ob ein funktionierender Exploit oder ein Patch aufgetaucht ist, und passen Sie die Prioritäten laufend an.
  • Verbinden Sie die Quellen. Behandeln Sie CVSS als einen Baustein eines breiteren Risikomanagements, neben der Bedrohungsanalyse und der Kritikalität der Anlagen.

Der sicherste Weg, um herauszufinden, welche Lücken sich bei Ihnen wirklich ausnutzen lassen, ist ein Penetrationstest. Er zeigt reale Angriffswege statt nur einer Liste von Werten. Vereinbaren Sie eine kostenlose Beratung, und wir sehen nach, wo das Risiko in Ihrer Umgebung wirklich hoch ist.

Möchten Sie wissen, welche Lücken Sie wirklich bedrohen?

Vereinbaren Sie eine kostenlose Beratung, und in einem Penetrationstest zeigen wir, welche Schwachstellen sich bei Ihnen tatsächlich ausnutzen lassen.

Vorheriger
Mehr Cybersicherheit im Finanzsektor: der komplette Leitfaden zum Digital Operational Resilience Act (DORA)
Nächster
Einführung in das NIST Cybersecurity Framework