Die Bedeutung von CVE- und CVSS-Scores

Differences between CVE and CVSS scores blog banner

Zu Beginn des neuen Jahres müssen Unternehmen damit rechnen, dass die Zahl der Cyberangriffe deutlich zunehmen wird. Um diese neuen Bedrohungen zu bekämpfen, sind effektive Patching- und Patch-Management-Prozesse unerlässlich. Vor dem Patchen von Schwachstellen sollten sich IT-Teams jedoch auf zwei Arten von Schwachstellen-Analysen fokussieren: CVE- und CVSS-Scores. Im Folgenden gehen wir auf die Bedeutung von CVE- und CVSS-Scores sowie auf einige ihrer Einsatzmöglichkeiten und Vorteile im Bereich Cybersicherheit ein.

Was ist der Unterschied zwischen CVE- und CVSS-Scores?

CVE- und CVSS-Scores sind beide Analysemöglichkeiten von Schwachstellen. Laut der National Vulnerability Database (der US-amerikanischen nationalen Datenbank für Schwachstellen) ist eine Schwachstelle „eine Sicherheitslücke in der Verarbeitungslogik (zum Beispiel Code) von Software- und Hardwarekomponenten, die bei Ausnutzung negative Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit hat“. Bevor eine solche Schwachstelle gepatcht wird, verwenden Unternehmen CVE- und CVSS-Scores, um weitere Informationen über die jeweilige Schwachstelle und ihren Schweregrad zu erhalten.

Was ist CVE?

CVE steht für Common Vulnerabilities or Exposers und ist eine öffentliche Liste von Cybersicherheitslücken. In diesem Verzeichnis sind diese Sicherheitsschwachstellen mit Identifikationsnummern, Daten und Beschreibungen aufgeführt.

Was ist CVSS?

CVSS steht für Common Vulnerability Scoring System und ist ein numerischer Wert, der den Schweregrad von Sicherheitslücken auf einer Skala von 0 bis 10 einstuft, wobei 10 der höchste Wert ist. Er wird häufig verwendet, um den Schweregrad von öffentlich bekannt gewordenen Schwachstellen zu bewerten, die in der CVE-Liste aufgeführt sind.

Wo erhält man CVE- und CVSS-Scores?

Derzeit verwaltet MITRE die CVE-Datenbank und arbeitet eng mit der National Vulnerability Database (NVD) zusammen, die Teil des National Institute of Standards and Technology (NIST) ist. Um CVSS-Scores zu finden, greifen Unternehmen meist auf FIRST zurück, eine US-amerikanische Non-Profit-Organisation.

Anwendungsbereiche von CVE- und CVSS-Scores

Heute verlassen sich IT-Teams auf CVE- und CVSS-Scores, um mehr über Sicherheitsschwachstellen zu erfahren, bevor sie Strategien zu deren Behebung entwickeln. CVE- und CVSS-Scores werden unter anderem für folgende Zwecke verwendet:

  • Beurteilung der Schwere von Schwachstellen

CVSS-Scores quantifizieren den Schweregrad von Sicherheitslücken. Ein IT-Team kann diese Informationen nutzen, um festzustellen, welche Schwachstellen die größten Bedrohungen darstellen, und diese zuerst beheben, bevor es sich um kleinere Schwachstellen kümmert.

Eine Schwachstelle mit einem CVSS-Score von 8 stellt beispielsweise eine größere Bedrohung dar als eine Schwachstelle mit einem Score von 3. In diesem Fall kann ein IT-Team zuerst die Schwachstelle mit dem Score 8 beheben, bevor es sich um die weniger schwerwiegende Schwachstelle mit dem Score 3 kümmert.

  • Besseres Verständnis einzelner Schwachstellen

CVE enthält Beschreibungen, Daten und andere Informationen über Schwachstellen. Darüber hinaus werden in CVE manchmal die Fixes oder Lösungen für eine bestimmte Schwachstelle aufgeführt. Diese wertvollen Informationen ermöglichen es einem IT-Team, mehr über eine Schwachstelle zu erfahren, sodass es eine Lösung entwickeln kann.

  • Unterstützung beim Patch-Management

CVE- und CVSS-Scores bieten einem IT-Team Orientierung und zusätzliche Unterstützung beim Patch-Management. Diese Bewertungen helfen einem IT-Team bei der Planung, Vorbereitung und Behebung von Schwachstellen, bevor sie zu einem ernsthaften Problem für ein Unternehmen werden.

Die Bedeutung von CVE- und CVSS-Scores

Auch wenn CVE- und CVSS-Scores nicht perfekt sind, gehören sie derzeit zu den besten Bewertungen, die für Schwachstellen verwendet werden können. Sie ermöglichen es IT-Teams, Schwachstellen zu kategorisieren, Schwerpunkte zu setzen und somit eine geordnete Prioritätenliste zu schaffen. Außerdem bauen IT-Teams auf die Kombination von CVE- und CVSS-Scores, um mehr Einblick in Sicherheitslücken zu erhalten und einen umfassenden Plan zu deren Behebung zu erstellen.

Einschränkungen bei CVE- und CVSS-Scores

Obwohl einige Unternehmen behaupten, dass CVE- und CVSS-Scores im Bereich der Cybersicherheit überbewertet werden, sind sie derzeit die besten verfügbaren Bewertungen für Schwachstellen. Dennoch muss eingeräumt werden, dass sie gewisse Einschränkungen aufweisen:

 

Einschränkungen CVSS

  • Messung des Risikos ist ungenau

Leider messen die CVSS-Scores für Schwachstellen das Risiko nicht immer genau. So gelten beispielsweise Schwachstellen mit einer Bewertung von 7.0 und höher als die schwerwiegendsten Bedrohungen, die vor allen anderen behandelt werden sollten. Aber sind Bedrohungen, die mit 6.5 bewertet wurden, wirklich so viel weniger gefährlich als Bedrohungen, die mit 7.0 bewertet wurden? Tatsächlich kann eine Schwachstelle mit einem Score von 6.5 unter Umständen mehr Probleme verursachen als eine Schwachstelle mit dem Score 7.0.

  • Scores bleiben unverändert und werden nicht aktualisiert

Nachdem einer Schwachstelle ein CVSS-Score zugewiesen wurde, wird dieser Score in der Regel nicht mehr geändert oder aktualisiert. Das bedeutet, dass es sich um einen statischen Wert handelt, bei dem Änderungen oder neue Informationen nicht berücksichtigt werden.

  • Wichtige Kontexte werden ausgelassen

Da es sich bei einem CVSS-Score lediglich um eine Zahl handelt, liefert er keinen Kontext oder zusätzliche Informationen über eine Schwachstelle. Aus diesem Grund ist es schwierig zu bestimmen, wie sich eine Schwachstelle tatsächlich auf ein Sicherheitssystem auswirken wird.

 

Einschränkungen CVE

  • Wichtige Informationen fehlen

Zwar liefert die CVE-Liste gewisse Informationen über eine Schwachstelle, doch sind diese für ein IT-Sicherheitsteam gegebenenfalls nicht ausreichend, um die Schwachstelle auch zu beheben. Kenna Security beschreibt dieses Problem folgendermaßen: „CVE-Einträge enthalten in der Regel keine wichtigen Informationen wie Exploit-Codes, Korrekturen, beliebte Ziele, bekannte Malware, Details zur Remotecode-Ausführung usw. Um diese zu finden, muss das Sicherheitspersonal also zusätzliche Nachforschungen anstellen. (CVE-Einträge enthalten oft Links zu Websites von Anbietern und anderen Ressourcen, die wiederum Links zu Patches und Ratschlägen für die Behebung enthalten können. Das ist jedoch ein manueller Suchprozess, der für Sicherheitsteams, die mit einer Liste von Hunderten oder gar Tausenden sogenannter kritischer Schwachstellen konfrontiert sind, oftmals überwältigend sein kann.)“

  • Bedrohungen für bereits gepatchte Software wird ignoriert

CVE konzentriert sich nur auf Schwachstellen in ungepatchter Software und ignoriert die Risiken oder Bedrohungen, die auf bereits gepatchte Software abzielen. Nur weil Software gepatcht ist, bedeutet das aber noch lange nicht, dass sie vor Schwachstellen und Bedrohungen völlig sicher ist.

  • Es wird nicht immer eine Lösung angeboten

Obwohl es eine weit verbreitete Annahme ist, dass CVE Lösungen für Schwachstellen bietet, ist das nicht immer der Fall. CVE bietet manchmal Lösungen oder Korrekturen für Schwachstellen, aber nicht in 100 % der Fälle.

Stärken Sie Ihre IT-Sicherheit mit NinjaOne

Das Patchen von und der Umgang mit Schwachstellen ist keine leichte Aufgabe. Deshalb bietet NinjaOne eine Lösung für das Patch-Management, mit der Sie die Patching-Prozesse von einem einzigen Arbeitsplatz aus automatisieren können. Mit NinjaOne können Sie die Kosten minimieren, die Komplexität reduzieren, Zeit sparen und Schwachstellen schnell beheben. Setzen Sie sich noch heute mit NinjaOne in Verbindung, um mehr zu erfahren und Ihre kostenlose Testversion zu starten.

Nächste Schritte

Der Aufbau eines effizienten und effektiven IT-Teams erfordert eine zentralisierte Lösung, die als vereintes Tool für die Bereitstellung von Dienstleistungen fungiert. NinjaOne ermöglicht es IT-Teams, all ihre Geräte zu überwachen, verwalten, sichern und zu unterstützen, unabhängig von ihrem Ort und komplexer Infrastruktur vor Ort.

Erfahren Sie mehr über NinjaOne Endpoint Management, schauen Sie sich eine Live-Tour an, oder starten Sie Ihre kostenlose Testversion der NinjaOne Plattform.

Das könnte Sie auch interessieren

Sind Sie bereit, ein IT-Ninja zu werden?

Erfahren Sie, wie Sie mit NinjaOne Ihren IT-Betrieb vereinfachen können.
Demo ansehen×
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

Testen Sie NinjaOne - unverbindlich & kostenfrei!

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).