CVSS (Common Vulnerability Scoring System)
Was ist CVSS (Common Vulnerability Scoring System)?
CVSS (Common Vulnerability Scoring System)Offenes, von FIRST gepflegtes Framework, das auf Basis von Ausnutzungs- und Auswirkungseigenschaften eine Schweregradzahl von 0–10 für Schwachstellen erzeugt.
CVSS bewertet Schwachstellen anhand dreier Metrikgruppen: Base (intrinsische Eigenschaften wie Angriffsvektor, Komplexität, benötigte Rechte und CIA-Auswirkungen), Temporal/Threat (Exploit-Reife, Behebung) und Environmental (an die konkrete Umgebung angepasst). Die meisten CVE-Einträge veröffentlichen den Base-Score als Zahl und als Vektor-String. CVSS v3.1 ist heute vorherrschend, v4.0 verfeinert IoT-Metriken und ergänzende Schweregrade. Scores müssen mit Geschäftskontext, Asset-Kritikalität sowie EPSS- oder CISA-KEV-Signalen kombiniert werden – ein hoher CVSS bedeutet nicht zwangsläufig hohes Realrisiko, ein niedriger kann in bestimmten Umgebungen kritisch sein.
● Beispiele
- 01
CVE-2021-44228 (Log4Shell): CVSS v3.1 Base 10,0 (Kritisch).
- 02
CVE-2014-0160 (Heartbleed): CVSS v2 Base 5,0 (Mittel).
● Häufige Fragen
Was ist CVSS (Common Vulnerability Scoring System)?
Offenes, von FIRST gepflegtes Framework, das auf Basis von Ausnutzungs- und Auswirkungseigenschaften eine Schweregradzahl von 0–10 für Schwachstellen erzeugt. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet CVSS (Common Vulnerability Scoring System)?
Offenes, von FIRST gepflegtes Framework, das auf Basis von Ausnutzungs- und Auswirkungseigenschaften eine Schweregradzahl von 0–10 für Schwachstellen erzeugt.
Wie schützt man sich gegen CVSS (Common Vulnerability Scoring System)?
Schutzmaßnahmen gegen CVSS (Common Vulnerability Scoring System) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CVSS (Common Vulnerability Scoring System)?
Übliche alternative Bezeichnungen: CVSS-Score.