Zum Inhalt springen
← Glossar

CVSS - Common Vulnerability Scoring System

Bewertungssystem für IT-Schwachstellen

Was bedeutet CVSS?

CVSS ist ein Bewertungssystem, das die technische Schwere einer Sicherheitslücke auf einer Skala von 0 bis 10 ausdrückt.

CVSS (Common Vulnerability Scoring System) ist ein offener Industriestandard der Organisation FIRST.org zur numerischen Bewertung der technischen Schwere von Sicherheitslücken. Die Bewertung erfolgt auf einer Skala von 0,0 (keine Gefahr) bis 10,0 (maximale Gefahr) basierend auf Angriffsvektor, -komplexität, erforderliche Privilegien, Nutzerinteraktion und Schadensausmaß (Vertraulichkeit, Integrität, Verfügbarkeit). CVSS wird weltweit verwendet – von Herstellern bei Sicherheitshinweisen, von Behörden in Warnungen, von Scanner-Anbietern in Reports und von IT-Teams bei Patch-Entscheidungen.

Wichtig: CVSS ist ein rein technisches Bewertungssystem, das kontextunabhängig arbeitet – es sagt, wie gefährlich eine Lücke *theoretisch* ist, nicht wie kritisch sie für Ihre spezifische Situation. CVSS v3.1 (seit 2019) ist derzeit am weitesten verbreitet; CVSS v4.0 (seit Nov. 2023) bietet verfeinerte Bewertungen mit zusätzlichen Kontextmetriken.

CVSS-Schweregrade: Werte und Bedeutung

CVSS unterteilt die Skala 0–10 in fünf Schweregrade:

  1. None (0,0) – keine Verwundbarkeit.
  2. Low (0,1–3,9) – gering, meist nur unter spezifischen Umständen ausnutzbar.
  3. Medium (4,0–6,9) – mittelschwer, relevant für IT-Operationen, verdient Aufmerksamkeit.
  4. High (7,0–8,9) – kritisch, erfordert zeitnahe Remediation.
  5. Critical (9,0–10,0) – höchste Stufe, erfordert sofortige Maßnahmen.

Wichtig: „Critical” bezieht sich rein auf das technische Schadenpotenzial und keine aktuelle Ausnutzung. Erst die Kombination mit dem KEV-Katalog (aktiv ausgenutzte Lücken) ergibt Handlungsdringlichkeit.

Wie wird der CVSS-Score berechnet?

Der CVSS Base Score wird aus acht Basemetriken berechnet (siehe FIRST.org Spezifikation). Diese werden in einem kompakten Vektorstring ausgedrückt – beispielsweise: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H für Log4Shell. Die acht Metriken:

  1. AV (Attack Vector) – Angriffszugang: N (Network/Internet), A (Adjacent/Lokalnetz), L (Local/Direktzugriff), P (Physical).
  2. AC (Attack Complexity) – Aufwand: L (niedrig, reproduzierbar) oder H (hoch, spezialwissen nötig).
  3. PR (Privileges Required) – Voraussetzungen: N (keine), L (begrenzte), H (hohe Rechte nötig).
  4. UI (User Interaction) – Nutzer-Zutun nötig? N (nein, automatisch) oder R (ja, z.B. Link klicken).
  5. S (Scope) – Auswirkungsradius: U (nur betroffene Komponente) oder C (auch andere Systeme betroffen).
  6. CIA (Confidentiality, Integrity, Availability) – Schadensausmaß auf Daten, Vertrauenswürdigkeit, Verfügbarkeit: N (keine), L (begrenzt), H (vollständig).

Detaillierte Erklärung aller Werte: siehe FIRST User Guide.

CVSS v3.1 vs. CVSS v4.0 – Was hat sich geändert?

CVSS v3.1 ist seit 2019 der Standard, funktioniert aber nach einem starren Regelwerk. CVSS v4.0 (seit Nov. 2023) führt mehr Flexibilität ein:

  1. Neue Metriken wie „Exploit Maturity” und „Vulnerable Component Type” ermöglichen feinere Bewertungen.
  2. Eine neue Option „Privilege Escalation” (zu PR) für Windows-spezifische Lücken.
  3. Bessere Unterscheidung zwischen Cloud, Container und traditioneller Infrastructure.
  4. SSVC (Stakeholder-Specific Vulnerability Categorization) als Ergänzung für Behörden und große Organisationen.

Für KMUs: Wenn Sie Advisories von Herstellern lesen, werden Sie mindestens noch 2–3 Jahre beide Versionen sehen. Lernen Sie v3.1 als Basis, v4.0 kommt später.

Base Score, Temporal Score und Environmental Score

CVSS hat drei Ebenen:

  1. Base Score – die „nackte” technische Bewertung, kontextfrei. Beispiel: Log4Shell war Base Score 10,0, da Remote Code Execution ohne Authentifizierung.
  2. Temporal Score (CVSS v3.1) / Threat Score (CVSS v4.0) – berücksichtigt Gegenwart: Gibt es bereits einen öffentlichen Exploit? Werden Lücken aktiv ausgenutzt (KEV)? Ein CVSS Base 7.5 mit Exploit kann Temporal 8.5 sein.
  3. Environmental Score – passt die Bewertung an Ihre Umgebung an.

Beispiel: Eine Lücke in Apache nur unter Ihrer Windows-Umgebung nicht ausnutzbar? Sie können den Score lokal senken.

Realität im Mittelstand: Nutzen Sie meist den Base Score. Temporal ist wichtig wenn KEV-Info vorliegt. Environmental brauchen Sie fast nie.

CVSS-Beispiele aus der Praxis

Log4Shell (CVE-2021-44228, Apache Log4j): CVSS 10,0 – Remote Code Execution, netzwerkgebunden, keine Auth, kritischer Impact.

Folge: Massiver Ausfall von Java-Anwendungen weltweit, Patches innerhalb von Stunden. Heartbleed (CVE-2014-0160, OpenSSL): CVSS 7,5 – Speicherleck, Netzwerk, ohne Auth, aber nicht direkt Code Execution.

Folge: Trotzdem bei kritischen Systemen höchste Priorität, da SSL-Keys gestohlen wurden. WinRAR-Lücke (CVE-2023-24454): CVSS 7,8 – Arbitrary File Extraction, aber: User musste infizierte RAR öffnen.

Folge: CVSS hoch, aber real nur mittlere Priorität in gut verwalteter Umgebung.

CVSS richtig interpretieren: Das häufigste Missverständnis

Fehler: „CVSS 9 = sofort handeln, CVSS 5 = ignorieren.” Richtig: CVSS ist nur ein Input für Priorisierung. Ein CVSS 5.5 in Ihrer häufigsten Anwendung verdient oft höhere Priorität als CVSS 8 in seltenem Legacy-System. Bedenken Sie:

  1. Ob die Lücke Sie überhaupt betrifft – ein Exploit für macOS ist irrelevant, wenn Sie Windows-only sind.
  2. Ob ein aktueller Exploit existiert – KEV-Katalog checken.
  3. Ob das System aus dem Internet erreichbar ist.
  4. Patch-Aufwand und Ausfallrisiko. Ein CVSS 7-Eintrag mit aktuellem Exploit im KEV-Katalog ist oft höher priorisiert als CVSS 9 ohne Exploit und ohne bisherige Ausbeutung.

CVSS und andere Scoring-Systeme

EPSS (Exploit Prediction Scoring System) ergänzt CVSS: Während CVSS die technische Schwere beschreibt, schätzt EPSS die Wahrscheinlichkeit, dass die Lücke in den nächsten 30 Tagen aktiv ausgenutzt wird (0–100%). Ein CVSS 5 mit EPSS 75% kann höhere Dringlichkeit haben als CVSS 8 mit EPSS 5%. KEV (Known Exploited Vulnerabilities) der CISA ist das binäre Signal: Entweder wird die Lücke bekannt aktiv ausgenutzt (= ja), oder nicht (= nein).

Im Mittelstand: Nutzen Sie CVSS als Baseline, EPSS und KEV als Verfeinerer.

Grenzen und Kritik am CVSS-System

Kritik 1: CVSS ist technik-zentriert – es bewertet, wie leicht eine Lücke technisch ausnutzbar ist, aber nicht, wie wertvoll das Ziel für Angreifer ist. Ein CVSS 7 im HR-System kann weniger interessant sein als CVSS 5 in Ihrer Kundendatenbank.

Kritik 2: CVSS ist statisch – eine Lücke erhält einen Base Score und ändert ihn nicht mehr, obwohl die Realität sich täglich ändert (neue Exploits, neue Anwendungen, neue Angriffsmuster).

Kritik 3: CVSS ignoriert Kontext – geographische Lage des Systems, Netzwerksegmentierung, Defense-in-Depth werden nicht berücksichtigt. Darum gibt es Environmental Scores, aber die nutzt fast niemand.

Zukunft: SSVC (Stakeholder-Specific Vulnerability Categorization) vom CISA adressiert diese Kritik durch stakeholder-spezifische Priorisierung statt universeller Scoring.

Praxis-Tool

Prüfe dein Vulnerability-Scanning & Patch-Management im Audit

Zum IT-Sicherheits-Audit

Auch bekannt als

CVSS-Score · CVE Score · CVSS v3.1 · CVSS v4.0 · Common Vulnerability Score

Teil des Themenbereichs: Schwachstellen bewerten

Häufige Fragen zu CVSS

Was bedeutet CVSS 7.5?

CVSS 7.5 ist ein "High"-Score. Die Schwachstelle ist technisch schwerwiegend und erfordert zeitnahe Behebung, aber ist nicht die kritischste Stufe. CVSS allein bedeutet nicht, dass Sie sofort handeln müssen – prüfen Sie KEV (wird die Lücke aktiv ausgenutzt?) und ob Sie das betroffene System nutzen.

Was ist der Unterschied zwischen CVSS 7 und CVSS 8?

CVSS 7 (High) und CVSS 8 (High) sind beide "High"-Einordnungen, aber CVSS 8 ist technisch näher an "Critical" (9+). CVSS 7 könnte etwa einen Exploit mit User-Interaktion bedeuten, CVSS 8 vielleicht Netzwerk-RCE ohne Auth. In der Praxis: CVSS 8 + KEV = sofort patchen, CVSS 7 ohne KEV = zeitnah patchen.

Ist CVSS 9 immer kritischer als CVSS 7?

Nein! Ein CVSS 9 ohne aktive Ausnutzung ist oft weniger dringend als ein CVSS 7 im KEV-Katalog (aktiv ausgenutzt). CVSS bewertet nur technisches Schadenpotenzial, nicht ob Angreifer es gerade nutzen. Kombinieren Sie CVSS mit KEV und EPSS für realistische Priorisierung.

Sollte ich ein CVSS 5 patchen?

CVSS 5 ist "Medium" – nicht ignorieren, aber nicht eilig. Priorisierung: Falls im KEV = zeitnah patchen. Falls Sie das betroffene Produkt nicht nutzen = ignorieren. Falls Medium-Severity aber viele Systeme = ggf. höher priorisieren. Nutzen Sie einen Patch-Prozess, nicht nur CVSS.

Was ist der Unterschied zwischen CVSS v3.1 und v4.0?

CVSS v4.0 bietet präzisere Bewertung mit zusätzlichen Metriken (z.B. Exploit-Reife, Komponenten-Typ). Für KMUs: v3.1 ist noch Standard, v4.0 kommt langsam. Lernen Sie v3.1, v4.0 können Sie später adaptieren. Keine großen Unterschiede für Entscheidungen, eher Verfeinerung.

Kann ich meinen eigenen CVSS-Score vergeben?

CVSS ist ein offener Standard – Sie können einen Environmental Score berechnen, um die Bewertung an Ihre Umgebung anzupassen. Beispiel: Eine Lücke CVSS 8 ist für Sie irrelevant, wenn das betroffene Produkt nicht im Einsatz ist. Nutzen Sie aber den Original Base Score für Dokumentation und Kommunikation.