});

Schwachstellenpriorisierung (CVSS)

Prisorisierung oder Ranking der Schwachstellen innerhalb eines Systems

Die Priorisierung von Schwachstellen ist ein integraler Bestandteil vom Schwachstellenmanagement, denn sie erlaubt es dem Netzwerksicherheitsverantwortlichen die Schwachstellen nach Dringlichkeit und Bedrohung zu kategorisieren.

Nicht jede Schwachstelle ist kritisch oder soll (sofort) beseitigt werden. In vielen Unternehmen laufen noch Systeme, z.B. zur Steuerung von Maschinen, welche ein längst abgekündigtes Betriebssystem verwenden. Selbst Microsoft Windows 3.1 oder  Microsoft 95 sind dabei keine Ausnahme. Hier wird auch die Unterscheidung zwischen Schwachstellen-Scanning und Schwachstellenmanagement extrem wichtig. Beim Schwachstellenmanagement werden Schwachstellen nicht nur erkannt sondern auch verwaltet wobei auch das Priorisieren dieser eine Rolle spielt.

Ein Sicherheitsprozess beinhaltet bestimmte Vorgaben, die die notwendige Meldung oder Aktion bei bestimmter Priorität der Schwachstelle definieren. Beispielweise sollten Schwachstellen mit der Prio 1 sofort und umgehend beseitigt werden. Bei diesen mit der Prio 2 oder höher kann man davon ausgehen, dass Zeit bis zum nächsten Arbeitstag ist.

Ein intelligentes Schwachstellenmanagement ermöglicht nicht nur das Priorisieren, sondern auch das Whitelisten von Schwachstellen, damit diese nicht bei jedem Scan erneut gemeldet werden und Alarm ausgelöst wird. Die Dokumentation ist dabei besonders wichtig weil nur auf diese Weise für alle nachvollziehbar (Auditoren inklusive) sein kann, warum welche Sicherheitslücke gewhitelabelt wurde.

Das moderne Schwachstellenmanagement beruht auf eine Datenbank, in der die Priorisierung bekannter Schwachstellen aufgelistet ist. Diese wird auch von Schwachstellenscannern benutzt und heißt CVSS – Common Vulnerability Scoring System. Sie stellt einen Industriestandard dar, welcher den Schweregrad einer IT-Sicherheitslücke (Vulnerability) beschreibt. Der Industriestandard CVSS wurde im Jahre 2005 von der US-amerikanischen Behörde NIAC (National Infrastructure Advisory Council), ins Leben gerufen. Die NIAC ist eine beratende Abteilung des US-Ministeriums für Innere Sicherheit und berät die Regierung bzw. die jeweils zuständigen Behörden insbesondere bei der Absicherung von kritischen Infrastrukturen der Regierung und Unternehmen deren Infrastruktur eine öffentliche und kritische Relevanz hat.

Dank ihrer wichtigen Funktion und der Tatsache, dass die USA den europäischen Staaten in Hinblick auf Datensicherheit weit voraus sind, hat sich der amerikanische Standard CVSS auch in Europa etabliert. Die Datenbank ist mit ihrer Ausführlichekeit und Aktualität einzigartig und wird aus diesem Grund auch von deutschen Herstellern von Schwachstellenmanagement-Software benutzt.