Common Vulnerability Scoring System

Common Vulnerability Scoring System (CVSS) - Industriestandard zur Bewertung von Sicherheitslücken in Computer-Systemen

Beschreibung

CVSS („Allgemeines Bewertungssystem für Schwachstellen“)

Industriestandard zur Bewertung des Schweregrades Sicherheitslücken in Computer-Systemen.

Möglichen oder tatsächliche

Bewertung

Sicherheitslücken nach verschiedenen Kriterien (Metrics) bewerten und vergleichen

Damit kann eine Prioritätenliste für Gegenmaßnahmen erstellt werden

Kein System zur Warnung vor Sicherheitslücken

Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen

Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden

Entstehung

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben und wird derzeit durch das Forum of Incident Response and Security Teams betreut.

Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.

In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec. CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.

Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.

Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.

Anhang

Siehe auch

CVSS

Common Criteria for Information Technology Security Evaluation (IEC, ISO)
Common Weakness Scoring System (CWSS™, MITRE)
Common Vulnerabilities and Exposures (CVE, ITU)

Links

Projekt

Weblinks