{"id":3260,"date":"2021-08-04T11:56:10","date_gmt":"2021-08-04T09:56:10","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3260"},"modified":"2022-06-08T09:48:01","modified_gmt":"2022-06-08T07:48:01","slug":"common-vulnerability-scoring-system-cvss-ein-subjektiv-einheitliches-bewertungsschema-fuer-sicherheitsluecken","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pentest\/common-vulnerability-scoring-system-cvss-ein-subjektiv-einheitliches-bewertungsschema-fuer-sicherheitsluecken\/","title":{"rendered":"Common Vulnerability Scoring System (CVSS) &#8211; ein (subjektiv) einheitliches Bewertungsschema f\u00fcr Sicherheitsl\u00fccken?"},"content":{"rendered":"\n<p>Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Als Penetrationstester sollte dabei jedoch nie das eigentliche Ziel aus den Augen verloren werden: die Identifikation aller Einstiegspunkte bzw. Sicherheitsl\u00fccken in einem Zielsystem. Die Liste von Schwachstellen kann sehr lang und un\u00fcbersichtlich werden. Um einem Auftraggeber aber mitzuteilen, welche Schwachstellen zuerst adressiert bzw. behoben werden sollten, m\u00fcssen die ermittelten Schwachstellen nach ihrem Risiko geordnet werden.<\/p>\n\n\n\n<p>Grunds\u00e4tzlich kann das Risiko einer Schwachstelle \u00fcber zwei verschiedene Arten dargestellt werden. So kann entweder ein konkreter Zahlenwert ermittelt (bspw. 1.034,99 Euro) werden oder eine Aussage \u00fcber die Schwere des Risikos getroffen (wie gering, mittel, hoch) werden. Der konkrete Zahlenwert ist das Ergebnis einer quantitativen Risikoanalyse. Diese eignet sich beispielsweise zur Bestimmung des Risikos eines Festplattenausfalls, da Festplatten einen konkreten Preis und eine durch\u00adschnitt\u00adliche Lebensdauer haben. Im Gegensatz dazu liegen einem Pentester bei Schwachstellen von IT-Systemen normalerweise nicht genug Informationen dieser Art vor, sodass diese Form der Risikoanalyse nicht empfehlenswert ist. Stattdessen kann aber eine qualitative Risikoanalyse vorgenommen werden, da immer Aussagen \u00fcber die Eintrittswahrscheinlichkeit und das m\u00f6gliche Schadensausma\u00df einer Schwachstelle getroffen und somit die Schwere des Risikos abgesch\u00e4tzt werden kann. Wie bei einer Sch\u00e4tzung \u00fcblich, werden verschiedene Pentester zu unterschiedlichen Risikobewertungen gelangen, da ihre Wahrnehmung und Erfahrungen uneinheitlich sind &#8211; selbst, wenn sie sich auf dasselbe Bewertungsschema beziehen.<\/p>\n\n\n\n<p>Jedoch ben\u00f6tigen gerade regulatorische Stellen wie das Regierungspr\u00e4sidium Darmstadt ein einheitliches System, da sie konkrete Anforderungen und Ma\u00dfnahmen definieren m\u00fcssen. Infolgedessen fordern sie von Pentestern eine Risikobewertung nach dem Common Vulnerability Scoring System (CVSS) durchzuf\u00fchren. Bei diesem handelt es sich um ein metrisches Bewertungsschema, welches einer Schwachstelle eine Punktzahl bzw. einen Score zwischen 0 und 10 zuweist &#8211; je h\u00f6her der Score desto gravierender ist das Risiko einer Schwachstelle. Auch wenn das Risiko einer Schwachstelle beim CVSS anhand einer Vielzahl von Parametern berechnet wird (s. <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3.1\">https:\/\/www.first.org\/cvss\/calculator\/3.1<\/a>), liegen Kenngr\u00f6\u00dfen wie die Auswirkung einer erfolgreich ausgenutzten Schwachstelle auf die Integrit\u00e4t im Ermessen der Pentester. Somit k\u00f6nnen Risikoangaben wie der CVSS Score einem Auftraggeber zwar als Richtwert dienen, jedoch sollte intern immer eine eigene Schwachstellenbewertung vorgenommen werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Als Penetrationstester sollte dabei jedoch nie das eigentliche Ziel aus den Augen verloren werden: die Identifikation aller Einstiegspunkte bzw. Sicherheitsl\u00fccken in einem Zielsystem. Die Liste von Schwachstellen kann sehr lang und un\u00fcbersichtlich werden. Um einem Auftraggeber aber mitzuteilen, welche Schwachstellen zuerst &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pentest\/common-vulnerability-scoring-system-cvss-ein-subjektiv-einheitliches-bewertungsschema-fuer-sicherheitsluecken\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[261],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-dsauer","4":"post-3260","6":"format-standard","7":"category-pentest","8":"post_tag-cvss"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3260","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3260"}],"version-history":[{"count":3,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3260\/revisions"}],"predecessor-version":[{"id":3264,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3260\/revisions\/3264"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3260"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3260"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3260"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}