CVSS – Das “Common Vulnerability Scoring System” bewertet Ihre IT-Sicherheit

  • in der Kategorie Security
  • veröffentlicht.

Common Vulnerability Scoring System (CVSS) – heute ist die Rede vom allgemeinen Verwundbarkeitsbewertungssystem. Um die Sicherheitslücken in einem industriell genutzten Computersystem zu bewerten, wird der Standard CVSS verwendet. Es lassen sich dadurch nicht nur die einzelnen Sicherheitslücken selbst, sondern insbesondere auch die Schwere aller Einfalltore im System aufzeigen, die einen unbefugten Zugriff durch unberechtigte Dritte ermöglichen. Hacker haben es auf den Diebstahl von Firmendaten abgesehen, wollen die zur Verfügung gestellten Dienste ausnutzen oder illegale Angriffe über Ihre Verbindung durchführen. Sollen diese Angriffsmöglichkeiten durch Cyberkriminelle ein für alle Mal ausgeschaltet werden, ist es erforderlich, die Schwachstellen im eigenen IT-System nach deren Risikostufe aufzulisten und der Priorität nach zu beheben.

Alternativen zu CVSS

Das Common Vulnerability Scoring System ist nicht die einzige Art, mit der sich Sicherheitslücken aufdecken lassen. Das Besondere an dem Industrie-Standard CVSS ist jedoch, dass sich die einzelnen Risiken für die Datensicherheit Ihrer Wichtigkeit nach auflisten lassen. Dafür wird bei CVSS üblicherweise eine Skala von 0,0 (sicher) bis 10,0 (unsicher) verwendet. Im Einzelfall kann es aber sein, dass das Angriffsrisiko noch deutlich höher vom Common Vulnerability Scoring System eingestuft wird. Die aktuelle CVSS Version v3.1 stammt aus dem Jahr 2019 und erkennt zuverlässig die meisten Schwachstellen in der IT und somit die gefährlichsten Einfallstore für Hacker und Cyberkriminelle.

Ihr Beitrag in IT-Security

Es kann sein, dass der Cyberkriminelle selbst eine Sicherheitslücke in Ihrem System schafft. Viel häufiger ist es jedoch, dass menschliches Versagen beziehungsweise eine fehlerhafte Programmierung zugrunde liegen, wenn sich Schwachstellen zeigen, die von Hackern genutzt werden können.

Je komplexer ein IT-System aufgebaut ist, umso leichter kommt es zu unentdeckten Lücken in der Sicherheit. Halten Sie Ihre Systeme daher so einfach wie möglich und vergeben Sie die Zugriffsrechte an so wenige Personen wie unbedingt nötig.

Ändern Sie Ihre Zugriffsdaten in regelmässigen Abständen und speichern Sie keine Passwörter auf Ihrer Festplatte oder Ihren Servern. Auch, wenn die Zugriffsdaten mit einem Master-Passwort gesichert sind, ist es Cyberkriminellen möglich, diese sensiblen Daten auszunutzen und für ihre illegalen Absichten zu missbrauchen.

Unter „Social-Engineering“ versteht man Cyberangriffe, bei denen Ihre HR-Abteilung getäuscht oder durch falsche Informationen derartig manipuliert wird, dass interne Daten preisgegeben werden. Häufig sind die Hacker auf persönliche Zugangsdaten oder Ihre internen Firmendaten aus.

Von CVSS entdeckte Sicherheitslücken im System schliessen

Sind viele externe Geräte mit Ihrem System verbunden, kommt es zu einer gesteigerten Angriffsmöglichkeit. Es gilt: Je grösser das Netzwerk, desto grösser die potenzielle Angriffsfläche. Funkverbindungen gelten zwar in der Regel als sicher, jedoch führt eine Vielzahl an angeschlossenen Endgeräten, also eine hohe Konnektivität, bei unzureichenden Sicherheitsmassnahmen in der Regel dazu, dass es Hacker leichter haben. Ihr CVSS stöbert diese Einfallstore für Kriminelle auf und zeigt Ihnen dabei auch gleich, wie schwerwiegend der jeweilige Systemfehler gerade ist. Sie wissen demnach sofort, wie rasch Sie handeln müssen, um die Sicherheitslücke der hohen Konnektivität zu schliessen.

Es ist auch möglich, dass sich ein Cyberkrimineller bei Ihnen im Unternehmen einschleicht und absichtlich Fehler in die Software einbaut. Viel häufiger ist aber die versehentliche Fehlprogrammierung, die in Ihrem IT-System mitunter zu mehr und minder schweren Sicherheitslücken führt. Anhand der CVSS Bewertung sehen Sie sofort, welche Software den grössten Schaden anrichtet und können umgehend handeln.

Achten Sie darauf, wer in Ihrem Betriebssystem über welche Zugriffsrechte verfügt. Es empfiehlt sich sowohl in mittleren als auch grossen Unternehmen, einer nur streng limitierten Personenzahl volle Zugriffsrechte zu übertragen. Für die meisten Mitarbeiter ist die Lese-Funktion ausreichend, ein eingeschränkter Personenkreis muss jedoch logischerweise Anwendungen bearbeiten. Die Modifikation einer App selbst, also die Definition und das Verändern von Standardeinstellungen, sollte allein ausgewählten Mitarbeitern der IT-Abteilungen obliegen. Halten Sie den Personenkreis möglichst klein, der auf sensible Anwendungen zugreifen kann.

So funktioniert die Bewertung Ihres CVSS

Nach dem Durchlauf aller Kontrollen erhalten Sie eine leicht verständliche Bewertung der aktuellen Sicherheitslücken, die Ihr CVSS auffindet. Die Metriken „Basis“, „zentral“ und „Umwelt“ sind in unterschiedliche Bestandteile gegliedert und geben eine Basis-Punktzahl aus. Die „Basis“-Bewertung berücksichtigt sowohl die mögliche Auswirkung als auch die tatsächliche Ausnutzung der entdeckten Sicherheitslücke. Um die Schwere der Lücke im System zu definieren, gibt es vier verschiedene Unterpunkte, die vom Common-Vulnerability-Scoring-System bei der Analyse berücksichtigt werden:

AC – die Komplexität eines Cyberangriffs

Dieser Punkt definiert die Voraussetzungen, durch die ein Angriff über diese Schwachstelle möglich wäre. Sie erhalten eine Bewertung mit einer niedrigeren Punktzahl, wenn es für den Hacker nötig ist, anderweitig noch weitere Informationen einzuholen. Kann der Hackerangriff über diese Sicherheitslücke hingegen „einfach so“, also ohne komplexe Hintergründe erfolgen, ist die Punktzahl des AC im CVSS entsprechend hoch.

AV – der Vektor des Angriffs

Dieser Punkt beschreibt Angaben zu den Zugriffsmöglichkeiten von Cyberkriminellen. Prinzipiell sind drahtlose Netzwerke oder Systeme via Internetverbindung unsicherer. Sie erhalten eine hohe AV-Einstufung im CVSS. Andersherum verhält es sich, wenn der Kriminelle persönlich vor Ort sein muss, um in die Soft- oder Hardware einzudringen. Diese Sicherheitslücken berechnet das CVSS mit einer geringeren Wertigkeit.

PR – die nötigen Berechtigungen

Hier bewertet das CVSS, wie schwer es Cyberkriminelle haben, in Ihr System einzugreifen. Sind für Modifikationen im System lediglich elementare Benutzerrechte nötig, ist die Punktzahl von PR im CVSS besonders hoch. Als weniger schwerwiegend gilt hingegen die Lücke im System, wenn Administrator-Rechte nötig sind, um etwas zu verändern.

UI – die Interaktion zwischen den Kriminellen

Kann der Hackerangriff alleine erfolgen oder ist die Unterstützung einer weiteren Person nötig, um Schaden im System anzurichten? Hier gibt es im CVSS nur zwei Variablen: entweder ist die Hilfe eines Mittäters nötig oder nicht.

18. November 2024SEO

Helpful Content laut Google: Mehrwert statt Keywords

Das „Helpful Content Update“ von Google hat die SEO-Welt nachhaltig verändert. Während Keywords und klassische SEO-Taktiken früher das A und

14. November 2024Webshop

Webshop-Inkasso: Praktische Tipps und rechtliche Grundlagen

Erfahren Sie alles Wichtige rund um das Thema Webshop-Inkasso. Für Betreiber von Webshops ist es ein unvermeidbarer Bestandteil des Geschäftsalltags:

Weiterlesen
11. November 2024Marketing

Darum ist Zufriedenheitsgarantie in der Schweiz ein starkes Marketinginstrument

Die Zufriedenheitsgarantie ist mehr als nur ein wohlklingendes Versprechen – sie ist ein effektives Marketinginstrument. In einem Markt, der von

Weiterlesen
7. November 2024Allgemein

KI Stofftier Moflin von Casio soll mit künstlicher Intelligenz Persönlichkeit entwickeln

Künstliche Intelligenz (KI) findet immer mehr Anwendung in unserem Alltag – sei es in Smartphones, Haushaltsgeräten oder sogar in der

Weiterlesen
CVSS – Das “Common Vulnerability Scoring System” bewertet Ihre IT-Sicherheit
Haben Sie Fragen zu diesem Thema? Einfach melden.
E-Mail Telefon Support / Hilfe
Zum Inhalt springen