In Sicherheitsmeldungen tauchen Angaben wie «CVSS 7.3 – Risiko hoch» oder «CVSS 9.0 – kritisch» auf. Solche Werte sollen auf einen Blick zeigen, wie gefährlich eine entdeckte Schwachstelle ist – und wie dringend reagiert werden muss. Doch was steckt hinter diesen Zahlen? Wer legt sie fest, und wie entsteht ein solcher Score?
Genau hier kommt das Common Vulnerability Scoring System (CVSS) ins Spiel. Der international genutzte Standard bewertet Sicherheitslücken nach einem einheitlichen Schema und ordnet ihnen einen Wert zwischen 0 und 10 zu. IT-Verantwortliche können so schneller einschätzen, wie gross das Risiko ist – und welche Massnahmen zuerst dran sind.
Was ist das Common Vulnerability Scoring System (CVSS)?
CVSS steht für Common Vulnerability Scoring System: ein standardisiertes Bewertungssystem, das Schwachstellen in Software und IT-Systemen numerisch nach ihrem Risiko einstuft.
Der Score reicht von 0 bis 10. 0 steht für «keine Gefahr», 10 für «extrem kritisch». Daraus entstehen die vier Risikokategorien: niedrig, mittel, hoch und kritisch.
Wer legt den CVSS fest?
CVSS wird von einer internationalen Organisation entwickelt und gepflegt: dem Forum of Incident Response and Security Teams (FIRST). (Offizielle Website: https://www.first.org/)
FIRST ist ein weltweiter Zusammenschluss von Computer-Notfallteams, Sicherheitsforschenden, Unternehmen und Behörden. Ziel ist es, internationale Standards für den Umgang mit IT-Sicherheitsvorfällen zu entwickeln.
Den Standard setzt also FIRST – die konkrete Bewertung einzelner Schwachstellen übernehmen jedoch verschiedene Stellen: Softwarehersteller wie Microsoft, Cisco oder VMware vergeben häufig selbst einen CVSS-Score für Lücken in ihren Produkten. Nationale Sicherheitsbehörden wie das BSI in Deutschland oder das Bundesamt für Cybersicherheit (BACS) in der Schweiz tun dasselbe.
Dadurch kann ein und dieselbe Schwachstelle unterschiedliche Scores bekommen. Ein Hersteller stuft sie vielleicht als «hoch» ein, während eine Behörde sie als «kritisch» bewertet.
Wie wird der Score berechnet?
Der CVSS-Score entsteht nicht durch eine subjektive Einschätzung, sondern durch ein standardisiertes Punktesystem. Mehrere technische Kriterien fliessen ein – das Ergebnis ist ein Wert zwischen 0 und 10.
Damit die Bewertung möglichst objektiv bleibt, arbeitet CVSS mit verschiedenen Metriken, die unterschiedliche Aspekte einer Schwachstelle beschreiben.
Base Metrics: Technische Kerneigenschaften
Die wichtigste Grundlage ist der Base Score. Er bewertet Eigenschaften der Schwachstelle, die unabhängig von einer konkreten IT-Umgebung bestimmbar sind.
Dazu gehören:
- Angriffsvektor: Von wo aus ist der Angriff möglich? Über das Internet, das lokale Netzwerk, lokal oder physisch?
- Angriffskomplexität: Wie aufwändig ist der Angriff? Wer ohne besondere Vorbereitung angreifen kann, bekommt eine höhere Risikoeinstufung.
- Benötigte Rechte: Braucht der Angreifer einen bestehenden Zugang zum System – oder kommt er ohne Login rein?
- Benutzerinteraktion: Manche Angriffe setzen voraus, dass jemand zuerst etwas tut – etwa einen präparierten Link anklickt. Ist keine Interaktion nötig, steigt der Score deutlich.
- Auswirkungen auf Sicherheitseigenschaften: CVSS bewertet drei zentrale Ziele:
- Vertraulichkeit: Können Daten ausgelesen werden?
- Integrität: Können Daten manipuliert werden?
- Verfügbarkeit: Kann das System lahmgelegt werden?
Temporal Metrics: Aktuelle Situation der Schwachstelle
Der zweite Bewertungsbereich schaut auf die aktuelle Lage: Wie aktiv wird die Schwachstelle gerade ausgenutzt?
Drei Fragen stehen dabei im Vordergrund:
- Gibt es bereits funktionierenden Exploit-Code im Internet?
- Existiert schon ein Sicherheitsupdate?
- Wie zuverlässig sind die verfügbaren Informationen?
Eine Schwachstelle ohne bekannten Exploit kann anfangs tiefer bewertet sein – steigt aber schnell im Score, sobald erste Angriffe auftreten.
Environmental Metrics: Bedeutung für eine konkrete Umgebung
Nicht jede Schwachstelle ist in jeder Umgebung gleich kritisch. Genau das berücksichtigt der dritte Bereich.
Ein Bug in einer Datenbank mag für ein Testsystem kaum relevant sein. Für eine Bankdatenbank oder ein Produktionssystem kann dieselbe Lücke existenzbedrohend sein.
Unternehmen können den CVSS-Score deshalb an ihre eigene Infrastruktur anpassen.
Das Ergebnis: Ein Score zwischen 0 und 10
Aus den einzelnen Risikoeinstufungen ergibt sich am Ende ein numerischer Wert:
| CVSS-Wert | Risiko |
|---|---|
| 0.0 | kein Risiko |
| 0.1 – 3.9 | niedrig |
| 4.0 – 6.9 | mittel |
| 7.0 – 8.9 | hoch |
| 9.0 – 10.0 | kritisch |
Ein Wert ab 9 bedeutet meistens: Die Schwachstelle lässt sich ohne grosse Hürden aus der Ferne ausnutzen, und die Auswirkungen sind massiv.
Solche Lücken werden in der Praxis oft innerhalb von Stunden oder wenigen Tagen gepatcht – trotzdem kann selbst diese kurze Zeitspanne bereits erhebliche Schäden verursachen.
CVSS-Bewertungen: Beispiele aus der Praxis
CVSS-Scores werden auf reale Schwachstellen angewendet, um das Risiko einheitlich einzuschätzen. Die folgende Tabelle zeigt einige bekannte Beispiele von mittel bis kritisch – die meisten Daten stammen aus der National Vulnerability Database (NVD), der zentralen Referenz für Sicherheitslücken.
| Schwachstelle | CVE | CVSS | Risiko | Beschreibung |
|---|---|---|---|---|
| Adobe Experience Manager XSS | CVE-2026-27228 | 5.4 | mittel | Stored XSS: Angreifer konnte in Formularfelder schädliches JavaScript einschleusen. |
| Checkmk XSS | CVE-2025-64999 | 7.3 | hoch | Cross-Site-Scripting in Logs: Admins könnten beim Anklicken präparierter Links Schadcode ausführen. |
| Heartbleed | CVE-2014-0160 | 7.5 | hoch | TLS-Fehler in OpenSSL: Speicherinhalte, darunter Passwörter und Schlüssel, konnten ausgelesen werden. |
| Wekan SSRF | CVE-2026-30844 | 8.1 | hoch | Server-Side Request Forgery: Angreifer konnte über Board-Import externe URLs abrufen und Missbrauch betreiben. |
| Misfortune Cookie | CVE-2014-9222 | 9.8 | kritisch | Router-Firmware-Lücke: Angreifer konnte Geräte aus der Ferne übernehmen und manipulieren. |
| Log4Shell | CVE-2021-44228 | 10.0 | kritisch | Log4j-Remote-Code-Execution: Beliebiger Code konnte über manipulierte Log-Einträge ausgeführt werden. |
Wer CVSS in der Praxis nutzt – und was er bringt
CVSS ist kein theoretisches Konstrukt. In der Praxis ist es ein zentrales Werkzeug für IT-Sicherheitsteams weltweit – es hilft, Schwachstellen nach Risiko einzustufen und Massnahmen gezielt zu priorisieren.
Wer arbeitet damit?
- IT-Abteilungen in Unternehmen, um Sicherheitslücken in der eigenen Infrastruktur im Blick zu behalten
- Security-Teams, die Patches und Updates planen und Risiken reduzieren wollen
- CERTs (Computer Emergency Response Teams), die nationale oder branchenspezifische Warnungen ausgeben
- Softwarehersteller, die ihre Produkte auf Schwachstellen prüfen
- Vulnerability-Management-Systeme und Behörden, die Risiken bewerten und Empfehlungen aussprechen
Konkret hilft CVSS dabei zu entscheiden, welche Schwachstellen sofort gepatcht werden müssen, welche warten können – und wie Sicherheitsmeldungen aus verschiedenen Quellen vergleichbar eingeordnet werden.
Aus einem abstrakten Score wird so ein konkretes Werkzeug für Priorisierung und Risikoanalyse.