Es liegt ein Stück weit in der Natur der Sache, dass wir uns von Weiterentwicklungen – wie der kürzlich veröffentlichten Version 4.0 des Common Vulnerability Scoring Systems (CVSS) – viel versprechen: Schließlich ist die Vorstellung verlockend, dass sich damit das Schwachstellenmanagement besser in den Griff bekommen lässt.
Nun ist die Realität oft eine andere. Die Bedrohungslage wird tendenziell immer größer und Schwachstellen gibt es zur Genüge. So zeigte etwa eine kürzlich veröffentlichte Studie von Veracode, dass 80 Prozent der im Raum Europa, Naher Osten und Afrika entwickelten Anwendungen Schwachstellen aufweisen. Security-Teams haben also alle Hände voll zu tun, Bedrohungen abzuwehren, Vorfälle zu bearbeiten und Schwachstellen zu beheben.
Nun bringt CVSS 4.0 einige eklatante Verbesserungen für das effektive Management von Schwachstellen mit – so hat es zumindest den Anschein. Indes muss sich das System bereits seit längerer Zeit einiges an Kritik gefallen lassen: Es ist davon die Rede, dass die Bewertungen mit CVSS zu komplex und subjektiv ausfallen. Ebenso werde dieser Ansatz häufig missbräuchlicher Weise benutzt, um Schwachstellen zu priorisieren, so die Kritiker.
Zudem erfährt nur der CVSS-Basis-Score eine hohe Verbreitung und damit einhergehend eine starke Relevanz, um den Schweregrad von Sicherheitslücken zu beurteilen. Der Temporal Score (zeitliche Metrik) und der Environmental Score (abhängig von der konkreten IT-Umgebung) fallen gemeinhin kaum ins Gewicht. So kommen wichtige Informationen nicht zum Tragen, um Schwachstellen ganzheitlich zu betrachten und entsprechend zu priorisieren.
Neue Metriken sollen Priorisierung erleichtern
Eben da soll CVSS 4.0 nun Abhilfe schaffen, nämlich in Form von neuen Nomenklaturen. Darüber hinaus berücksichtigt eine zusätzliche Gruppe von Metriken (Supplemental Metric Group) weitere extrinsische Attribute von Schwachstellen. Die Idee dahinter: Organisationen sollen in die Lage versetzt werden, Schwachstellen – anhand ihres jeweiligen lokalen Kontexts – optimal zu priorisieren.
Was in der Theorie hervorragend klingt, sieht in der Praxis allerdings oft ganz anders aus. Denn die zusätzlichen Metriken bedeuten auch mehr manuelle Arbeit. Nun sind die meisten Cybersecurity-Teams ohnehin sehr knapp besetzt – und das bei einer steigenden Bedrohungslage. Bei dieser Gemengelage bleibt kaum Zeit für zusätzliche Arbeit.
CVSS-Basis-Score steht zu sehr im Vordergrund
Darüber hinaus wird empfohlen, sich – für eine maximale Wirksamkeit – nicht allein auf die CVSS-Basis-Metriken zu verlassen. Denn Schwachstellen müssen immer auch im Kontext von inneren und äußeren Einflussfaktoren betrachtet werden. Zum Beispiel herrscht bei einer Schwachstelle, die intern nur einen relativ geringen Schaden verursachen kann und keiner akuten Bedrohung unterliegt, weniger Handlungsbedarf als bei einer vergleichbar großen Schwachstelle, die ein attraktives Ziel für Cyberakteure darstellt.
Doch die Erfahrung zeigt, dass die meisten Anwender sich damit nur unzureichend auseinandersetzen: Sie verlassen sich schlichtweg auf das Scoring der Hersteller, das häufig lediglich aus dem CVSS-Basis-Score besteht. Eine tiefergehende Betrachtung findet genau wie eine individuelle Bewertung, in die auch organisationsspezifische Faktoren einfließen, bereits heute nur sehr selten statt.
Mit CVSS 2 gab es schon einmal den Versuch, das System so umzugestalten, dass es den Anforderungen an ein ganzheitliches System zur Bewertung und Priorisierung von Schwachstellen gerecht wird. Letztlich stellten sich die damals zusätzlich eingeführten Klassen als zu komplex heraus. Die nächste Version wurde daher wieder vereinfacht. Ob die neuen Metriken dieses Mal Bestand haben werden, ist vor diesem Hintergrund zweifelhaft.
CVSS 4.0 reicht nicht
Nichtsdestotrotz bietet CVSS 4.0 einige Verbesserungen in Sachen Cloud-Native-Technologien, APIs und KI. Mit alledem gestalten sich tatsächlich einige Aspekte des Schwachstellenmanagements effektiver. Dadurch ergeben sich insbesondere für Software-as-a-Service-Anbieter (SaaS) einige Vorteile: So lassen sich etwa Third-Party-Schwachstellen besser mit der Infrastruktur von SaaS-Umgebungen abstimmen.
Um Schwachstellen unter Hinzunahme des neuen CVSS 4.0 effektiv und effizient zu bewerten, zu managen und zu lösen, benötigen Security-Teams neben ausreichend personellen Ressourcen jedoch auch eine geeignete Landschaft von Werkzeugen, die sie dabei unterstützt. Aktuell ist das offenbar bei weniger als der Hälfte der Teams der Fall. In Deutschland nutzen laut einer OTRS-Umfrage gerade einmal 45 Prozent ein Tool für das Schwachstellenmanagement.
Fazit: Es braucht den individuellen Blick
Zu konstatieren bleibt, dass die Schwachstellenbeurteilung immer einen holistischen, individuellen und kontextuellen Blick abverlangt. CVSS wird das auch in seiner neuen Iteration nicht allein leisten können. Sowieso kann kein System zur Schwachstellenbewertung für sich genommen sämtliche Probleme lösen. Wir haben es also nie mit einem Allheilmittel zu tun. Systeme können nur partiell guten Input liefern.
Auch wenn CVSS 4.0 richtig eingesetzt einige Verbesserungen mit sich bringt, sollten Organisationen dringend davon abrücken, sich auf nur ein einziges System wie das CVSS oder einzig und allein auf die Scorings der Softwarehersteller zu verlassen.
Stattdessen müssen sie in die notwendigen Ressourcen wie Fachpersonal, Schulungen und Tools investieren, die ihre Teams benötigen, um ein effektives und effizientes Schwachstellenmanagement zu betreiben – gerne mit, aber niemals ausschließlich mit CVSS 4.0.
Jens Bothe ist Vice President Information Security beim Softwareunternehmen OTRS AG
