top of page
Suche

📂 📊 CVE und CVSS: Grundlagen der Schwachstellenbewertung 📂 📊

  • Autorenbild: Daniel Eberhorn
    Daniel Eberhorn
  • 3. März
  • 3 Min. Lesezeit
A professional illustration featuring a sleek black folder labeled 'CVE' next to a circular rating gauge representing 'CVSS'. The design conveys the connection between the two systems used for vulnerability assessment. The background is a minimalistic gradient of blue and gray, with subtle cybersecurity motifs like shields and locks, emphasizing technology and security themes.

Bild generiert durch OpenAI's DALL·E

 

Im Bereich der Cyber Security sind CVE (Common Vulnerabilities and Exposures) und CVSS (Common Vulnerability Scoring System) etablierte Standards. Während CVEs der eindeutigen Identifikation von Schwachstellen dienen, bewertet das CVSS die Kritikalität und das Risiko dieser Schwachstellen. Ein Überblick über die Hintergründe, den Aufbau und die Funktionsweise von CVEs und CVSS.



Wie wird eine CVE-Nummer vergeben?

Die Vergabe einer CVE-Nummer folgt einem klar definierten, standardisiertem und nachvollziehbarem Prozess.


  1. Entdeckung einer Schwachstelle: Sicherheitsforscher, Hersteller oder andere Parteien entdecken eine neue Sicherheitslücke.


  2. Meldung an eine CNA: Die Schwachstelle wird an eine zuständige CVE Numbering Authority (CNA) gemeldet. CNAs sind Organisationen, die autorisiert sind, CVE-Nummern zu vergeben, wie beispielsweise Softwarehersteller (Microsoft, Google, usw.) oder ausgewählte Sicherheitsunternehmen.


  3. Prüfung der Vorgaben: Die CNA prüft, ob die Schwachstelle die Kriterien für eine CVE erfüllt:

    • Ist die Schwachstelle einzigartig?

    • Handelt es sich um eine sicherheitsrelevante Lücke?

    • Kann die Schwachstelle reproduziert und dokumentiert werden?


  4. Vergabe einer CVE-Nummer: Erfüllt die Schwachstelle die Anforderungen, wird eine CVE-Nummer zugewiesen, z. B. CVE-2024-12345.


  5. Veröffentlichung und Dokumentation: Die CVE wird veröffentlicht und in der CVE-Datenbank registriert. Diese enthält Informationen zur Schwachstelle wie betroffene Produkte, Auswirkungen und – sofern verfügbar – Hinweise zur Behebung.


CVE-Einträge sind bei ihrer ersten Veröffentlichung öfters unvollständig und enthalten nur grundlegende Informationen wie die CVE-Nummer und den betroffenen Kontext. Weitere Details, wie technische Beschreibungen oder Lösungsvorschläge, werden im Laufe der Zeit ergänzt.


Falls eine Schwachstelle mehrere Produkte betrifft (z. B. eine weit verbreitete Open-Source-Bibliothek wie OpenSSL), wird nur eine CVE vergeben, die für alle betroffenen Produkte gilt.




Wie ist eine CVE-Nummer aufgebaut?

Eine CVE-Nummer besteht aus drei Hauptbestandteilen, die ihre Struktur definieren:


  • Präfix "CVE": Zeigt an, dass es sich um eine offiziell registrierte Schwachstelle handelt.

  • Jahreszahl: Das Jahr, in dem die Schwachstelle registriert wurde (z. B. 2024).

  • Sequenznummer: Eine eindeutige Nummer, die von der zuständigen CNA vergeben wird (z. B. 12345).


Beispiel: CVE-2024-12345.Die Jahreszahl muss nicht mit dem Entdeckungs- oder Veröffentlichungsjahr übereinstimmen, sondern bezieht sich auf die CVE-Registrierung.



Welche Schwachstellen qualifizieren sich für eine CVE?

Nicht jede Schwachstelle wird automatisch zu einer CVE. Es gelten spezifische Kriterien:

  • Einzigartigkeit: Die Schwachstelle muss neu und bisher unbekannt sein.

  • Bedeutung: Sie muss eine sicherheitsrelevante Auswirkung haben, z. B.:

    • Unbefugter Zugriff auf Systeme.

    • Manipulation oder Offenlegung sensibler Daten.

    • Störung der Verfügbarkeit von Diensten.

  • Kontext: Die Schwachstelle muss eine aktiv genutzte Komponente betreffen (Software, Hardware oder System).

  • Verifizierbarkeit: Sie muss reproduzierbar und dokumentierbar sein.



Das Common Vulnerability Scoring System (CVSS) erklärt

CVSS wurde entwickelt, um Schwachstellen einheitlich zu bewerten und Prioritäten für deren Behebung zu setzen. Die aktuelle Version, CVSS v3.1, bietet ein flexibles und detailliertes Bewertungssystem.


Die CVSS-Skala

Der CVSS-Score reicht von 0,0 (keine Auswirkungen) bis 10,0 (kritische Auswirkungen). Die Einteilung erfolgt in vier Kategorien:


  • Niedrig (0,1–3,9): Geringe Auswirkungen, z. B. auf Verfügbarkeit oder Integrität.

  • Mittel (4,0–6,9): Relevante, aber unter Umständen schwer ausnutzbare Schwachstellen.

  • Hoch (7,0–8,9): Leicht ausnutzbare Schwachstellen mit erheblichen Folgen.

  • Kritisch (9,0–10,0): Schwerwiegende Schwachstellen, die dringendes Handeln erfordern.


Berechnung eines CVSS-Scores

Der CVSS-Score wird auf Basis mehrerer Metriken berechnet, die in drei Kategorien eingeteilt sind:


  1. Base Score (grundlegende Bewertung): Bewertet die Schwachstelle unabhängig vom Kontext.

    • Angriffsvektor (Attack Vector, AV): Lokal, im gleichen Subnetz, über das Netzwerk (L3) oder physisch.

    • Angriffs-Komplexität (Attack Complexity, AC): Wie komplex ist der Angriff (niedrig/hoch)?

    • Privilegien (Privileges Required, PR): Benötigt der Angreifer spezielle Rechte?

    • Benutzereingriff (User Interaction, UI): Ist Benutzerinteraktion erforderlich?

    • Auswirkungen (Impact): Vertraulichkeit, Integrität und Verfügbarkeit.


  2. Temporal Score (zeitabhängige Bewertung): Berücksichtigt Faktoren wie verfügbare Exploits oder den Entwicklungsstatus eines Patches.


  3. Environmental Score (umfeldspezifische Bewertung): Passt die Bewertung an die spezifische Umgebung an, z. B. ob die Schwachstelle in kritischen Systemen vorhanden ist.


Beispiel für die Anwendung von CVSS

Eine Schwachstelle, die es ermöglicht, über das Netzwerk unbefugten Zugriff auf ein System zu erlangen, und die keine Benutzerinteraktion erfordert, könnte folgende Eigenschaften haben:


  • Base Score: 9,8 (kritisch).

  • Temporal Score: 8,9 - wenn ein Exploit veröffentlicht, aber noch kein Patch verfügbar ist.

  • Environmental Score: 6,5 - falls das betroffene System isoliert und nicht öffentlich zugänglich ist.



Warum CVE und CVSS gemeinsam wichtig sind

CVE liefert die Grundlage für die Identifikation von Schwachstellen, während CVSS deren Schwere und Priorität bewertet. Zusammen ermöglichen sie es, nicht nur Schwachstellen zu dokumentieren, sondern auch gezielt darauf zu reagieren.


Für Unternehmen bedeutet dies:

  • Transparenz: Schwachstellen können klar identifiziert und kommuniziert werden.

  • Priorisierung: Kritische Schwachstellen werden hervorgehoben.



Fazit

CVE und CVSS sind unverzichtbare Mechanismen in der Cyber Security. Sie schaffen Standardisierung und Transparenz und helfen dabei, Risiken effizient zu bewerten. Die Nutzung beider Systeme ist essenziell, um mit der wachsenden Komplexität moderner IT-Umgebungen Schritt zu halten. Das Zusammenspiel von klarer Identifikation (CVE) und einheitlicher Bewertung (CVSS) ermöglicht es Unternehmen, gezielte Maßnahmen zu ergreifen und ihre Sicherheitsstrategie effektiv umzusetzen.

Logo of SecurityWho - A fingerprint and the slogon IT-Security made simple

Contact me

über LinkedIN

© Daniel Eberhorn - SecurityWho

Impressum
Datenschutz
bottom of page