CVSS 4.0 – Schwachstellenbewertung auf neuem Level

„CVSS 4.0, die neueste Version des Common Vulnerability Scoring System-Standards, bietet uns allen eine wichtige Methode, um Sicherheitslücken klar und genau zu bewerten“, verkündete FIRST in einer offiziellen Erklärung. Im Wesentlichen erfasst CVSS die wichtigsten technischen Aspekte einer Schwachstelle und weist ihr einen numerischen Wert zu, der ihre Schwere quantifiziert. Dieser Wert kann dann in verschiedene Kategorien wie niedrig, mittel, hoch und kritisch umgerechnet werden, um Unternehmen bei der Priorisierung ihres Schwachstellenmanagements zu unterstützen.

Eine der wichtigsten Änderungen in CVSS v3.1, die im Juli 2019 veröffentlicht wurde, war die klare Betonung, dass CVSS dazu dient, den Schweregrad einer Schwachstelle zu messen und nicht allein zur Bewertung des Risikos verwendet werden sollte. CVSS v3.1 wurde jedoch kritisiert, weil es an Feinheiten in der Bewertungsskala fehlte und Aspekte wie Gesundheit, menschliche Sicherheit und industrielle Kontrollsysteme nicht ausreichend berücksichtigte.

Die neueste Aktualisierung des Standards hat das Ziel, einige Schwächen zu beheben, indem sie zusätzliche Faktoren für die Bewertung von Schwachstellen einführt. Dazu gehören Sicherheit, Automatisierbarkeit, Wiederherstellung, Wertdichte, Aufwand für die Reaktion auf Schwachstellen und Dringlichkeit für den Anbieter.

Außerdem wird eine neue Methode zur Angabe der CVSS-Bewertungen eingeführt. Sie umfasst:

• CVSS-B: CVSS Base Score
• CVSS-BT: CVSS Base + Threat Score
• CVSS-BE: CVSS Base + Environmental Score
• CVSS-BTE: CVSS Base + Threat + Environmental Score

Dies soll verdeutlichen, dass CVSS mehr ist als nur der Basiswert. „Diese Nomenklatur sollte überall dort verwendet werden, wo ein numerischer CVSS-Wert angezeigt oder kommuniziert wird“, so FIRST. Die Idee ist, den Basiswert der CVSS-Bewertung durch eine Analyse der Umgebung (Environmental Metrics) und durch Attribute, die sich im Laufe der Zeit ändern können (Threat Metrics), zu ergänzen.