Common Vulnerability Scoring System (CVSS) – heute ist die Rede vom allgemeinen Verwundbarkeitsbewertungssystem. Um Sicherheitslücken in einem industriell genutzten Computersystem zu bewerten, wird der Standard CVSS verwendet. Damit lassen sich nicht nur einzelne Sicherheitslücken aufzeigen, sondern auch die Schwere aller Einfalltore – also der Punkte, die unbefugten Zugriff durch Dritte ermöglichen. Hacker haben es auf Firmendaten abgesehen, wollen Dienste ausnutzen oder illegale Angriffe über deine Verbindung ausführen. Um diese Angriffsmöglichkeiten dauerhaft auszuschalten, müssen Schwachstellen im eigenen IT-System nach ihrer Risikostufe aufgelistet und der Priorität nach behoben werden.
Alternativen zu CVSS
Das Common Vulnerability Scoring System ist nicht die einzige Methode, mit der sich Sicherheitslücken aufdecken lassen. Das Besondere am Industrie-Standard CVSS: Die einzelnen Risiken für die Datensicherheit lassen sich nach Wichtigkeit auflisten. Dafür verwendet CVSS eine Skala von 0,0 (sicher) bis 10,0 (unsicher). Im Einzelfall kann das Angriffsrisiko aber noch deutlich höher eingestuft werden. Die aktuelle Version v3.1 stammt aus dem Jahr 2019 und erkennt zuverlässig die meisten Schwachstellen in der IT – und damit die gefährlichsten Eintrittspunkte für Hacker.
Ihr Beitrag in IT-Security
Ein Cyberkrimineller kann selbst eine Sicherheitslücke in deinem System schaffen. Deutlich häufiger sind es aber menschliche Fehler oder eine fehlerhafte Programmierung, die Schwachstellen entstehen lassen, die Hacker ausnutzen können.
Je komplexer ein IT-System aufgebaut ist, desto leichter entstehen unentdeckte Sicherheitslücken. Halte deine Systeme daher so einfach wie möglich und vergib Zugriffsrechte nur an so wenige Personen wie nötig.
Ändere deine Zugriffsdaten regelmässig und speichere keine Passwörter auf deiner Festplatte oder deinen Servern. Auch wenn Zugriffsdaten mit einem Master-Passwort gesichert sind, können Cyberkriminelle diese sensiblen Informationen abgreifen und für illegale Zwecke missbrauchen.
Unter „Social Engineering“ versteht man Angriffe, bei denen deine HR-Abteilung durch falsche Informationen so manipuliert wird, dass interne Daten preisgegeben werden. Häufig zielen die Hacker auf persönliche Zugangsdaten oder interne Firmendaten ab.
Von CVSS entdeckte Sicherheitslücken im System schliessen
Je mehr externe Geräte mit deinem System verbunden sind, desto grösser wird die Angriffsfläche. Funkverbindungen gelten als vergleichsweise sicher – aber eine hohe Konnektivität bei unzureichenden Sicherheitsmassnahmen erleichtert Hackern die Arbeit erheblich. CVSS stöbert diese Eintrittspunkte auf und zeigt dir gleichzeitig, wie schwerwiegend der jeweilige Systemfehler ist. Du siehst sofort, wie rasch du handeln musst.
Denkbar ist auch, dass sich ein Cyberkrimineller im Unternehmen einschleicht und absichtlich Fehler in die Software einbaut. Häufiger ist aber die versehentliche Fehlprogrammierung, die im IT-System zu mehr oder weniger schweren Sicherheitslücken führt. Anhand der CVSS-Bewertung siehst du sofort, welche Software den grössten Schaden anrichtet – und kannst umgehend handeln.
Prüfe, wer in deinem System über welche Zugriffsrechte verfügt. Es empfiehlt sich, volle Zugriffsrechte nur einer streng limitierten Personenzahl zu übertragen. Für die meisten Mitarbeitenden reicht die Lese-Funktion. Wer Anwendungen bearbeiten muss, braucht mehr – aber die Modifikation von Standardeinstellungen sollte ausschliesslich ausgewählten Personen der IT-Abteilung vorbehalten sein. Halte den Kreis der Zugriffsberechtigten so klein wie möglich.
So funktioniert die Bewertung Ihres CVSS
Nach dem Durchlauf aller Kontrollen erhältst du eine verständliche Bewertung der aktuellen Sicherheitslücken. Die Metriken „Basis“, „zentral“ und „Umwelt“ sind in unterschiedliche Bestandteile gegliedert und ergeben eine Basis-Punktzahl. Die „Basis“-Bewertung berücksichtigt sowohl die mögliche Auswirkung als auch die tatsächliche Ausnutzung der entdeckten Lücke. Vier Unterpunkte fliessen bei der Analyse ein:
AC – die Komplexität eines Cyberangriffs
Dieser Punkt definiert, unter welchen Voraussetzungen ein Angriff über eine Schwachstelle möglich wäre. Muss ein Hacker dafür noch zusätzliche Informationen beschaffen, fällt die Punktzahl niedriger aus. Kann der Angriff hingegen direkt und ohne Vorbereitung erfolgen, ist der AC-Wert im CVSS entsprechend hoch.
AV – der Vektor des Angriffs
Dieser Punkt beschreibt die Zugriffsmöglichkeiten von Cyberkriminellen. Drahtlose Netzwerke und Systeme mit Internetverbindung sind grundsätzlich angreifbarer – sie erhalten eine hohe AV-Einstufung. Anders sieht es aus, wenn ein Angreifer physisch vor Ort sein muss, um in Hard- oder Software einzudringen. Diese Lücken bewertet CVSS mit einer geringeren Wertigkeit.
PR – die nötigen Berechtigungen
Hier bewertet CVSS, wie schwer es Cyberkriminellen fällt, in dein System einzugreifen. Reichen für Modifikationen elementare Benutzerrechte aus, ist der PR-Wert besonders hoch. Sind hingegen Administrator-Rechte nötig, gilt die Lücke als weniger kritisch.
UI – die Interaktion zwischen den Kriminellen
Kann ein Angriff alleine durchgeführt werden – oder braucht es dafür die Unterstützung einer weiteren Person? Im CVSS gibt es hier nur zwei Variablen: Mittäter nötig oder nicht.