CVSS - Common Vulnerability Scoring System
Bewertungssystem für IT-Schwachstellen
Was bedeutet CVSS?
CVSS (Common Vulnerability Scoring System) ist ein offener Standard zur Bewertung der Schwere von IT-Schwachstellen. Bewertet werden Faktoren wie der Angriffsweg, die Komplexität des Angriffs und der mögliche Schaden für Daten und Systeme. Das Ergebnis ist ein Zahlenwert zwischen 0,0 und 10,0. Der Standard wird von FIRST.org gepflegt; seit 2023 ist CVSS v4.0 die aktuelle Hauptversion, viele Advisories nutzen weiterhin CVSS v3.1.
Die CVSS-Schweregrade
CVSS-Werte werden in fünf Stufen klassifiziert: 0,0 = None, 0,1-3,9 = Low, 4,0-6,9 = Medium, 7,0-8,9 = High, 9,0-10,0 = Critical. Die Stufe „Critical“ signalisiert dabei nicht automatisch akute Ausnutzung, sondern ausschließlich das technische Schadenpotenzial.
Base, Temporal, Environmental
CVSS kennt mehrere Metrikgruppen. Der Base Score zeigt, wie gefährlich eine Schwachstelle grundsätzlich ist - unabhängig davon, wann oder wie sie ausgenutzt wird. Die Temporal Metrics (in v4.0: Threat Metrics) berücksichtigen Faktoren wie verfügbare Exploits. Die Environmental Metrics passen den Score an die konkrete Einsatzumgebung an - etwa ob ein verwundbarer Dienst überhaupt aus dem Internet erreichbar ist.
Grenzen des CVSS
Ein hoher CVSS-Score bedeutet nicht zwangsläufig hohes Risiko. Erst die Kombination aus CVSS, aktiver Ausnutzung (siehe KEV) und dem eigenen Systemkontext ergibt eine sinnvolle Risikoeinschätzung. Frameworks wie EPSS oder SSVC ergänzen CVSS daher zunehmend.
Auch bekannt als
CVSS-Score · CVSS v3.1 · CVSS v4.0