In fast jedem Pentest Bericht findet man den CVSS Score. Diese Zahl zwischen 0 und 10 steht dann unter den Schwachstellen und soll angeben, wie schwerwiegend die Schwachstelle ist. Oft wird der CVSS-Score als eine Metrik für das Risiko angesehen. Das ist aber nicht ganz richtig, denn CVSS bewertet nicht das Risiko einer Schwachstelle. Aber was macht es denn dann? Diese Frage schauen wir uns in diesem Blogbeitrag etwas genauer an.
Das Missverständnis, dass das Common Vulnerability Scoring System (CVSS) ein Risikobewertungssystem sei, ist weit verbreitet. Selbst in Veröffentlichungen des National Institute of Standards and Technology (NIST) findet man diese Formulierung. Oft ist es nicht einmal Unwissenheit, sondern sprachliche Ungenauigkeit. Doch wenn wir einen Blick in die CVSS-Spezifikation selbst werfen, dann stellen wir fest, dass die Autor:innen sehr bewusst vermeiden, von „Risiko“ zu sprechen. Stattdessen sprechen sie vom „Schweregrad“ einer Schwachstelle.
Zwo, Eins, Risiko!
Zum Verständnis des Begriffs „Risiko“ können wir in der Informationssicherheit die ISO/IEC 27005 heranziehen. Diese beschreibt ein Risiko als Möglichkeit, dass eine Schwachstelle ausgenutzt wird und dadurch ein Schaden für das Unternehmen entsteht. Dabei wird auch wirtschaftliche, soziale und regulatorische Kontext, in dem sich das Unternehmen bewegt, berücksichtigt. Dies ist für die Bewertung eines Risikos notwendig. Eine aus der Ferne ausnutzbare Denial-of-Service-Schwachstelle (DoS-Schwachstelle) in einer Insulinpumpe wäre äußerst kritisch. Es besteht aktut Gefahr für Leib und Leben, wenn die Insulinpumpe ausfällt. Eine aus der Ferne ausnutzbare DoS-Schwachstelle in einer Kaffeemaschine wäre hingegen ärgerlich – sicherlich würden für die Dauer des Ausfalls ein paar Zeilen Code weniger geschrieben – aber solange noch eine Dose Cola im Kühlschrank steht, könnte man das als „akzeptiertes Risiko“ bewerten.
Wenn unsere Pentester:innen eine Schwachstelle in einem Prüfobjekt finden, können wir diese nur in einem gewissen Rahmen bewerten. Wir können in dieser Rolle nie so gut im Bilde über die fachlichen und wirtschaftlichen Anforderungen Ihres Unternehmens sein wie Sie selbst. Daher nehmen wir mit dem CVSS-Score keine Risikobewertung vor, sondern treffen lediglich eine Aussage über den technischen Schweregrad der Schwachstelle. Die Faktoren aus denen sich der Score zusammensetzt sind daher auch alle rein technischer Natur: Der Faktor „Attack Vector“ bezieht sich beispielsweise auf den Zugang auf Netzwerkebene, also darauf, ob die Schwachstelle über das Netzwerk ausgenutzt werden kann, oder ob ein physischer Zugriff auf das betroffene Gerät benötigt wird. Für ein besonders hochwertiges Schloss am Serverraum gibt es bei CVSS keine Bonus-Punkte, dieses würde erst bei der Risikobewertung berücksichtigt werden.
Was tun?
Der ideale Umgang mit Schwachstellen und deren Bewertungen wäre daher, wenn der CVSS-Schweregrad einer Schwachstelle im Risikomangementsystem eines Unternehmens aufgenommen würde. Dies ermöglicht eine risiko-orientierte Bearbeitung der gefundenen Schwachstellen. Der rein technische Schweregrad einer Schwachstelle liefert aber auch Unternehmen ohne Risikomanagement einen wertvollen Indikator für den Behebungsplan.