Was ist CVSS (Common Vulnerability Scoring System)?
Zuletzt aktualisiert:
Kurz erklärt: CVSS (Common Vulnerability Scoring System) ist der internationale Standard zur Bewertung der Schwere von Sicherheitslücken. Es liefert pro CVE einen numerischen Score von 0,0 bis 10,0 — basierend auf Angriffsvektor, Komplexität, benötigten Privilegien und Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS wird vom Forum of Incident Response and Security Teams (FIRST) gepflegt; aktuelle Version ist CVSS 4.0 (November 2023), in der Praxis ist CVSS 3.1 noch dominierend. Der Score ist Standard-Eingangsgröße für Patch-Priorisierung in Schwachstellen-Management-Programmen.
Das Common Vulnerability Scoring System (CVSS) ist der internationale Standard zur Bewertung der Schwere von Sicherheitslücken. Es liefert pro Schwachstelle einen numerischen Score zwischen 0,0 und 10,0 und ist die universelle Eingangsgröße für jedes professionelle Schwachstellen-Management-Programm.
Foundational Facts
- Herausgeber: Forum of Incident Response and Security Teams (FIRST)
- Aktuelle Version: CVSS 4.0 (November 2023)
- In der Praxis dominierend: CVSS 3.1 (NVD, MITRE führen meist beide Scores)
- Score-Bereich: 0,0 (None) bis 10,0 (Critical)
- Status: offen, kostenlos, weltweit anerkannter Standard
Score-Stufen
Der CVSS-Base-Score wird in fünf qualitative Stufen unterteilt:
| Stufe | Score-Bereich | Bedeutung |
|---|---|---|
| None | 0,0 | keine Sicherheitswirkung |
| Low | 0,1 – 3,9 | geringe Schwere, oft theoretisch oder schwer ausnutzbar |
| Medium | 4,0 – 6,9 | moderate Schwere, Patch im normalen Patch-Zyklus |
| High | 7,0 – 8,9 | hohe Schwere, beschleunigtes Patching erforderlich |
| Critical | 9,0 – 10,0 | kritische Schwere, sofortiges Handeln |
Die drei Metrikgruppen
CVSS strukturiert die Bewertung in drei Metrikgruppen:
Base Metrics
Die intrinsischen Eigenschaften der Schwachstelle, die sich nicht über die Zeit oder durch Umgebung ändern:
- Attack Vector (AV): Network, Adjacent Network, Local, Physical
- Attack Complexity (AC): Low, High
- Privileges Required (PR): None, Low, High
- User Interaction (UI): None, Required
- Scope (S): Unchanged, Changed (gibt die Schwachstelle Zugriff über ihren ursprünglichen Sicherheits-Scope hinaus?)
- Confidentiality Impact (C): None, Low, High
- Integrity Impact (I): None, Low, High
- Availability Impact (A): None, Low, High
Aus diesen acht Metriken errechnet sich der Base Score — die Zahl, die in den meisten CVE-Datenbanken (NVD, MITRE) angegeben wird.
Temporal Metrics
Zeit-veränderliche Eigenschaften:
- Exploit Code Maturity (E): ist Exploit-Code verfügbar?
- Remediation Level (RL): gibt es einen offiziellen Patch?
- Report Confidence (RC): wie verlässlich ist die Information über die Schwachstelle?
Environmental Metrics
Umgebungs-spezifische Anpassungen — wie wirkt sich die Schwachstelle auf die konkrete Umgebung des Unternehmens aus? Hier können Asset-Kritikalitäts-Faktoren (Confidentiality Requirement, Integrity Requirement, Availability Requirement) berücksichtigt und Base Metrics nachjustiert werden.
In der Praxis wird oft nur der Base Score berichtet — die Temporal- und Environmental-Metriken bleiben dem konkreten Risikomanagement-Prozess vorbehalten.
CVSS 4.0 — die wichtigsten Änderungen gegenüber 3.1
CVSS 4.0 wurde im November 2023 veröffentlicht und überarbeitet das Modell substanziell:
- Klare Trennung der vier Metrikblöcke: Base, Threat, Environmental, Supplemental
- Neue Metrik Attack Requirements (AT) — ergänzt Attack Complexity um Vorbedingungen, die nicht der Angreifer schaffen kann
- Subsequent System Impact — explizite Bewertung von Lateral-Movement-Effekten
- Feinere Granularität in der Score-Berechnung
- Supplemental Metrics — informative Zusatzfelder wie Safety, Automatable, Recovery, Value Density
In der Praxis ist die Adoption langsam — NVD, MITRE und die meisten Hersteller-Berater geben weiterhin parallel den CVSS-3.1-Score an. Tools wie Vulnerability Scanner unterstützen meist beide Versionen.
CVSS in der Patch-Priorisierung
Der CVSS-Score ist nur ein Eingangswert in eine fundierte Patch-Priorisierung. Moderne Schwachstellen-Management-Programme kombinieren CVSS mit zusätzlichen Signalen:
| Signal | Liefert | Quelle |
|---|---|---|
| CVSS Base Score | theoretische Schwere | NVD, MITRE |
| EPSS | Wahrscheinlichkeit der Ausnutzung (0–1) | FIRST.org / EPSS |
| CISA KEV | aktiv ausgenutzte Schwachstellen | CISA |
| Asset-Kritikalität | Bedeutung der betroffenen Komponente | internes CMDB / Asset-Register |
| Kompensierende Kontrollen | Verbleibendes Risiko nach Mitigation | internes Sicherheits-Architektur-Wissen |
Eine isolierte „CVSS ≥ 7 patchen”-Policy ist nicht sinnvoll — sie produziert viel Lärm und priorisiert oft falsch. Die Kombination CVSS + EPSS + KEV + Asset-Kritikalität liefert eine deutlich bessere Risiko-orientierte Priorisierung.
Bedeutung im Compliance-Kontext
CVSS spielt in mehreren Compliance-Frameworks eine zentrale Rolle:
- NIS2 / ISO 27001: Schwachstellen-Management-Anforderungen verlangen eine strukturierte Priorisierung — CVSS ist der etablierte Anker
- DORA: das TLPT-Programm bewertet Findings entlang CVSS-Schweregraden
- BSI IT-Grundschutz: Bausteine zur Schwachstellen-Behandlung beziehen sich auf CVSS
- KRITIS: Systeme zur Angriffserkennung müssen CVSS-Scoring berücksichtigen
Weiterführende Links
Häufige Fragen
- Was sagt der CVSS-Score genau aus?
- Der CVSS-Score ist eine numerische Bewertung von 0,0 bis 10,0, die die intrinsische Schwere einer Sicherheitslücke beschreibt. Er teilt sich in vier Schweregradstufen — None (0,0), Low (0,1–3,9), Medium (4,0–6,9), High (7,0–8,9), Critical (9,0–10,0). Der Score sagt nur etwas über die theoretische Schwere aus, nicht über die tatsächliche Bedrohung für ein konkretes Unternehmen — dafür braucht es ergänzende Metriken wie das EPSS (Wahrscheinlichkeit der Ausnutzung) oder die individuelle Asset-Kritikalität.
- Was sind die Komponenten des CVSS-Scores?
- CVSS unterscheidet drei Metrikgruppen. Base Metrics beschreiben die unveränderlichen Eigenschaften der Schwachstelle — Angriffsvektor (Network, Adjacent, Local, Physical), Angriffskomplexität, benötigte Privilegien, User Interaction, Scope sowie Auswirkungen auf Confidentiality, Integrity und Availability. Temporal Metrics berücksichtigen Zeit-Faktoren wie Exploit-Verfügbarkeit. Environmental Metrics passen den Score an die konkrete Umgebung an. In den meisten öffentlichen CVE-Datenbanken wird nur der Base Score angegeben.
- Was ist neu in CVSS 4.0 gegenüber CVSS 3.1?
- CVSS 4.0 (November 2023) überarbeitet die Metrik-Struktur substanziell. Die Trennung zwischen Base, Threat und Environmental Metrics wird klarer, neue Metriken adressieren moderne Angriffsmuster — z. B. Attack Requirements als Ergänzung zur Angriffskomplexität sowie Subsequent System Impact zur besseren Bewertung von Lateral-Movement-Risiken. Die Score-Berechnung wurde feinkörniger; in der Praxis wird CVSS 3.1 jedoch noch von den meisten Datenbanken (NVD, MITRE) als Hauptscore geführt.
- Warum reicht der CVSS-Score allein nicht für Patch-Priorisierung?
- Der CVSS-Score beschreibt nur die theoretische Schwere einer Schwachstelle, nicht die tatsächliche Bedrohung. Eine Kritikalität-Bewertung muss zusätzlich berücksichtigen — ob die Schwachstelle aktiv ausgenutzt wird (KEV-Liste der CISA), wie hoch die Ausnutzungswahrscheinlichkeit ist (EPSS-Score), wie kritisch das betroffene Asset für das Unternehmen ist und ob kompensierende Kontrollen wirksam sind. Moderne Schwachstellen-Management-Programme kombinieren CVSS mit EPSS und Asset-Kritikalität zu einer Risiko-orientierten Priorisierung.
- Wer pflegt den CVSS-Standard?
- CVSS wird vom Forum of Incident Response and Security Teams (FIRST), einer internationalen Vereinigung von CERTs und Sicherheits-Teams, gepflegt. FIRST veröffentlicht die Spezifikation öffentlich und kostenlos. Aktuelle Version ist CVSS 4.0 (November 2023). Die offizielle Spezifikation, ein interaktiver Score-Rechner und Mapping-Tools sind auf first.org/cvss/ verfügbar.