Common Vulnerability Scoring System (CVSS)

Unternehmen sind mit zu vielen Schwachstellen konfrontiert, als dass sie diese in Gänze beheben könnten. 

Das National Institute of Standards and Technology (NIST) meldete kürzlich, im Jahr 2024 insgesamt 32 % mehr Einreichungen zu Schwachstellen (sogenannte „Vulnerability Submissions“) als im Vorjahr erhalten zu haben. Dieser Trend wird sich den NIST-Erwartungen zufolge auch im Jahr 2025 fortsetzen. 

Bei Common Vulnerabilities and Exposures (CVEs) war 2024 eine ähnliche Zunahme (20 %) zu verzeichnen − Ende Mai 2025 umfasste die landesweite CVE-Datenbank über 280.000 CVEs.

Angesichts dieser schwindelerregenden Zahlen ist es für Teams unmöglich, jede einzelne Schwachstelle zu beheben. Doch das ist auch gar nicht notwendig. 

Was Unternehmen wirklich benötigen, ist eine Möglichkeit, sich auf das Wesentliche zu fokussieren. 

Genau hier kommt das CVSS ins Spiel.

Das Common Vulnerability Scoring System (CVSS) bewertet den technischen Schweregrad einer Schwachstelle.

Das System wird von FIRST gepflegt und weist jeder Schwachstelle eine Bewertung zwischen 0,0 und 10,0 zu, in die eine Kombination aus Kennzahlen zur jeweiligen Ausnutzbarkeit und den damit verbundenen Auswirkungen einfließt. Diese sogenannten „Scores“ unterstützen Teams bei der Priorisierung und Kommunikation von Risiken.

CVSS-Bewertungen sind in die meisten Schwachstellen-Scanner, Bedrohungshinweise (Threat Advisories) und Patch-Management-Workflows eingebunden. Dies bietet Sicherheitsteams eine einheitliche Methode für einen system- und anbieterübergreifenden Vergleich von Schwachstellen. 

Doch obwohl das CVSS von grundlegender Bedeutung ist, greift es für sich genommen deutlich zu kurz.

Das CVSS verdeutlicht Unternehmen nicht, welche Elemente in ihrer Umgebung tatsächlich ausnutzbar sind, und berücksichtigt keinerlei Geschäftsrisiken. Eine Anpassung an das Angreiferverhalten bleibt ebenfalls aus. 

Genau aus diesem Grund zieht Tenable das CVSS zwar als Ausgangspunkt heran, ergänzt die entsprechenden Bewertungen jedoch um ein Vulnerability Priority Rating (VPR), Bedrohungssignale in Echtzeit, Kontext zu Cloud-Identitäten sowie einheitliches Scoring in Tenable One.

In den folgenden Abschnitten schlüsseln wir auf, wie das CVSS funktioniert, wo es zu kurz greift und wie das System im Rahmen eines intelligenteren risikobasierten Ansatzes für das Schwachstellenmanagement (Vulnerability Management, VM) eingesetzt werden kann.

Bei CVSS-Bewertungen kommt eine standardisierte Formel zum Einsatz, die sich aus grundlegenden („base“), zeitabhängigen („temporal“) und umgebungsbedingten („environmental“) Kennzahlen zusammensetzt.

Grundlegende Kennzahlen

Inhärente Schwachstellenmerkmale:

• Angriffsvektor (Attack Vector, AV)
  • Können Angreifer die Schwachstelle über ein Netzwerk bzw. lokal oder physisch ausnutzen? 
  • Remote-Schwachstellen (AV: N) wird ein höherer Score zugewiesen.
• Angriffskomplexität (Attack Complexity, AC)
  • Erfordert der jeweilige Exploit eine besondere Konfiguration, Timing oder ungewöhnliche Systemzustände?
• Erforderliche Berechtigungen (Privileges Required, PR)
  • In welchem Umfang benötigen Angreifer Zugriffsrechte, bevor sie die Schwachstelle ausnutzen können?
• Benutzerinteraktion (User Interaction, UI)
  • Setzt der Angriff voraus, dass Benutzer einen Link anklicken, eine Datei öffnen oder andere Aktionen durchführen?
• Anwendungsbereich (Scope, S)
  • Betrifft die Schwachstelle ausschließlich die jeweilige Komponente oder hat sie „grenzüberschreitende“ Auswirkungen?
• Auswirkung (CIA)
  • Anhand dieses Merkmals wird der jeweilige Verlust bezogen auf Vertraulichkeit, Integrität und Verfügbarkeit gemessen.

Zeitabhängige Kennzahlen

Mit diesen Kennzahlen wird der jeweilige Score basierend auf der aktuellen Exploit-Landschaft angepasst:

• Reifegrad des Exploit-Codes
  • Ist Exploit-Code öffentlich verfügbar?
• Remediation-Level
  • Ist ein Patch verfügbar?
• Zuverlässigkeit von Berichten
  • Wie gut ist die Schwachstelle verifiziert?

Umgebungsbedingte Kennzahlen

Diese Kennzahlen tragen dazu bei, Scores basierend auf der jeweiligen Umgebung anzupassen:

• Sicherheitsanforderungen
  • Wie wichtig sind Vertraulichkeit, Integrität und Verfügbarkeit für Ihr Unternehmen?
• Modifizierte grundlegende Kennzahlen
  • Diese Kennzahlen sollten genutzt werden, wenn Kontrollmechanismen oder Eindämmungsmaßnahmen den jeweiligen Schweregrad reduzieren.

Schweregrad-Bereiche

Im Anschluss werden CVSS-Bewertungen in die folgenden Schweregrad-Bereiche unterteilt:

• Kein Schweregrad (0,0)
• Geringer Schweregrad (0,1 – 3,9)
• Mittlerer Schweregrad (4,0 – 6,9)
• Hoher Schweregrad (7,0 – 8,9)
• Kritischer Schweregrad (9,0 – 10,0)

Sie möchten sich ein Bild davon machen, wie sich das CVSS in ein modernes Schwachstellenmanagement-Programm einfügt? Lernen Sie Tenable Vulnerability Management kennen und finden Sie heraus, wie die Lösung statische Bewertungen mit automatisierbarer Priorisierung zusammenführt.

Das CVSS bietet Unternehmen eine gemeinsame Sprache zur näheren Beschreibung von Schweregraden. Es unterstützt Sicherheitsteams bei der Ersteinschätzung, Infrastrukturteams bei der Priorisierung und vermittelt Führungskräften ein besseres Verständnis von kritischen Aspekten – in der Theorie.

Wenn sämtliche Stakeholder mit denselben Scores arbeiten, können Unternehmen:

• Patching Thresholds automatisieren
• Service Level Agreements (SLAs) basierend auf Schweregraden festlegen
• Dashboards und Berichte standardisieren
• Remediation-Teams mittels gemeinsamer Risikodefinitionen auf eine Linie bringen

Doch Schweregrade sind nicht gleichbedeutend mit Risiken. Das CVSS gibt keinerlei Aufschluss darüber, ob:

• Angreifer eine Schwachstelle in Ihrer Umgebung ausnutzen könnten
• Ihre sensibelsten Assets von einer Schwachstelle betroffen sind
• Angreifer eine Schwachstelle aktiv ausnutzen

Und genau hier erweist sich ein Vulnerability Priority Rating (VPR) als Gamechanger.

Das CVSS zeigt auf, wie schwerwiegend eine Schwachstelle unter Umständen sein könnte. Risikobasierte Priorisierung hingegen verdeutlicht, was Unternehmen zuerst beheben sollten. Diese Abgrenzung ist von entscheidender Bedeutung.

Tenable nutzt das CVSS als Baseline und zieht das VPR als zusätzliche Ebene heran, um Unternehmen bessere Antworten auf folgende Fragen zu liefern:

• Nutzen Angreifer die jeweilige Schwachstelle aktiv aus?
• Bringt die Schwachstelle geschäftskritische Systeme in Gefahr?
• Ist die Schwachstelle von außen erreichbar?
• Könnten Bedrohungsakteure die Schwachstelle im Rahmen eines Angriffspfades für Rechteausweitung und Lateral Movement nutzen?

Tenable VPR umfasst:

• Exploit-Verfügbarkeit und Ausnutzungsaktivitäten (gesammelt aus realen Quellen)
• Threat-Intelligence und Abbildung des Angreiferverhaltens
• Asset-Kritikalität – basierend auf der jeweiligen geschäftlichen Bedeutung
• Exposure-Pfade, einschließlich Identitätsmissbrauch und Cloud-Konfigurationsrisiken
• Beispiel: 
  • Laut CVSS weist eine Schwachstelle einen Score von 9,8 auf. Bei alleiniger Betrachtung dieses CVSS-Scores wäre anzunehmen, dass die Schwachstelle umgehend behoben werden muss. 
  • Der VPR-Unterschied: Aus dem VPR geht hervor, dass die Schwachstelle einen internen Testserver ohne jegliche Nutzerdaten betrifft; bei einer Ausnutzung durch Angreifer wären die Auswirkungen folglich beschränkt. Und schon erscheint eine Schwachstelle mit einer CVSS-Bewertung von 9,8 gar nicht mehr so dringlich.
  • Parallel dazu meldet das VPR eine Schwachstelle mit einem niedrigeren CVSS-Score. Da diese aber in einem öffentlich zugänglichen Workload auftritt, der mit Kundendaten verknüpft ist, und Bedrohungsakteure aktiv auf diese Schwachstellen scannen, ist sie gegenüber der Schwachstelle mit einem höheren CVSS-Score zu priorisieren.

Dies ist der große Nutzen von risikobasierten Priorisierungs- und Scoring-Methoden und zudem der Grund dafür, dass CVSS-Bewertungen nicht in Isolation zum Einsatz kommen sollten.

In der Dokumentation erfahren Sie mehr darüber, wie das Vulnerability Priority Rating (VPR) von Tenable auf dem CVSS aufsetzt und darüber hinaus Ausnutzbarkeit, Angreiferverhalten und die Bedeutung von Assets berücksichtigt.

In modernen Cloud-Umgebungen können CVSS-Bewertungen bei alleiniger Nutzung gefährlich irreführend sein. 

Cloud-Assets sind dynamisch. Workloads werden im Minutentakt hoch- und heruntergefahren. Ein Container, der binnen 10 Minuten wieder aus einer Umgebung verschwindet, birgt nicht dasselbe Risiko wie ein dauerhaft vorhandener Datenbankserver.

Angriffspfade hängen von Identitäten ab. Eine Schwachstelle mittleren Schweregrads auf einem Asset, das mit einer hoch privilegierten Rolle verbunden ist, kann gefährlicher sein als ein Sicherheitsproblem mit hohem Schweregrad, das auf einem isolierten Endgerät auftritt.

Fehlkonfigurationen verstärken die Exposure, insbesondere in der Cloud.

Das CVSS lässt Folgendes außer Acht:

• Cloud-spezifische Fehlkonfigurationen
• Übermäßig gefährdete Identitäten
• Erreichbarkeit des Netzwerks und Lateral Movement
• Kurzlebige Assets, die hochwertige Daten vorübergehend offenlegen

Genau hier ergänzt Tenable Cloud Security entscheidenden Kontext: Die Lösung integriert CVSS-Bewertungen mit der Cloud-Sicherheitslage in Echtzeit. Dadurch können Unternehmen:

• Erkennen, welche Schwachstellen externe Sicherheitsrisiken bergen
• Nachvollziehen, welche Identitäten Zugriff auf diese Schwachstellen haben
• Miteinander verkettete Risiken erkennen – über Cloud- und On-Prem-Infrastruktur hinweg

Das CVSS besagt, dass Schwachstelle X als kritisch einzustufen ist.

Tenable Cloud Security verdeutlicht Unternehmen hingegen, dass es sich um eine öffentlich zugängliche und ausnutzbare kritische Schwachstelle handelt, die mit Admin-Zugangsdaten verknüpft ist.

Diese Schwachstelle muss zuerst behoben werden.

Tenable Cloud Security verdeutlicht die Zusammenhänge zwischen CVSS-Bewertungen, Cloud-Fehlkonfigurationen und IAM-Risiken. Sichern Sie Ihre Cloud-Angriffsfläche ab – durch kontinuierlichen Kontext.

Das CVSS ist nur ein Teilaspekt im Gesamtgefüge der Schwachstellenpriorisierung. An dieser Stelle ziehen wir einen Vergleich zu anderen gängigen Modellen.

Exploit Prediction Scoring System (EPSS)

Das EPSS liefert eine Einschätzung der Wahrscheinlichkeit, mit der eine Schwachstelle innerhalb der nächsten 30 Tage durch Angreifer ausgenutzt werden könnte. Folglich ist das System probabilistisch aufgebaut und basiert nicht auf Schweregraden.

• Ergänzende Aspekte: Angreiferverhalten und statistische Modellierung
• Nicht abgedeckte Bereiche: Es spiegelt weder geschäftliche Auswirkungen noch den Umgebungskontext wider.
• Zusammenspiel mit dem CVSS: Bei entsprechender Kombination gibt das CVSS Aufschluss über den Schweregrad einer Schwachstelle und das EPSS über die jeweilige Ausnutzungswahrscheinlichkeit.

Eine Schwachstelle mit einer CVSS-Bewertung von 6,8 und einer EPSS-Wahrscheinlichkeit von 94 % dürfte dringlicher sein als eine Schwachstelle mit einer CVSS-Bewertung von 9,8, die von Angreifern nie ausgenutzt wurde.

Common Vulnerabilities and Exposures (CVEs)

Eine CVE ist eine Kennung, keine Bewertung. Sie trägt dazu bei, spezifische Schwachstellen über Tools, Anbieter und Sicherheitshinweise hinweg nachzuverfolgen.

• Ergänzende Aspekte: Konsistente Nachverfolgung und Dokumentation
• Nicht abgedeckte Bereiche: Es sagt nichts über Risiken aus.
• Zusammenspiel mit dem CVSS: CVEs (welche Schwachstelle?) sollten mit dem CVSS (welcher Schweregrad?) verknüpft werden.

OWASP-Risikobewertung

Das OWASP-Modell kommt in erster Linie im Bereich der Anwendungssicherheit zum Einsatz und ist eher manueller und subjektiver Natur. Es bewertet die jeweilige Feststellbarkeit, Ausnutzbarkeit und Auswirkung von Schwachstellen, was sich zwar hervorragend zu Modellierungszwecken, aber nur bedingt zur Priorisierung in großem Maßstab eignet.

Welche Bewertungsmodelle sollten also verwendet werden?

Die Kombination aus CVSS + VPR + EPSS + Asset-Kontext liefert ein vollständigeres Bild der Risiken. 

Tenable One macht sich dieses Modell zunutze und integriert Schweregrad, Wahrscheinlichkeit, geschäftliche Auswirkungen sowie Exposure in einer einzigen, priorisierten Ansicht.

Schwachstellenmanagement (Vulnerability Management, VM) beginnt mit der Identifizierung von Schwachstellen, doch damit ist es nicht getan. 

Sobald Scanning-Tools eine Schwachstelle finden, muss der jeweilige Schweregrad evaluiert und die Schwachstelle zu Behebungszwecken priorisiert werden. 

Genau hier spielt Schwachstellenbewertung eine zentrale Rolle.

Das CVSS bildet seit geraumer Zeit das Fundament der Schwachstellenbewertung. Es bietet Teams die Möglichkeit, Schweregrade in konsistenter Form zuzuweisen – basierend auf der jeweiligen Ausnutzbarkeit und den Auswirkungen. Darüber hinaus unterstützt es Dashboards, Patching-SLAs, Eskalationsregeln und Remediation-Pläne.

Doch modernes Schwachstellenmanagement erfordert mehr als technische Schweregrade:

• Unternehmen müssen wissen, ob die jeweilige Schwachstelle von Angreifern aktiv ausgenutzt wird.
• Unternehmen müssen ermitteln, ob geschäftskritische Systeme von der jeweiligen Schwachstelle betroffen sind oder sensible Daten offengelegt werden.
• Unternehmen müssen Behebungsmaßnahmen auf das konkrete Risiko abstimmen, nicht auf theoretische Bewertungen.

Aus diesem Grund bindet Tenable CVSS-Bewertungen in einen breiter gefassten Ansatz für risikobasiertes Schwachstellenmanagement ein. 

Durch die Kombination von CVSS mit VPR und das erweiterte Scoring mit Tenable One können Unternehmen dazu übergehen, ausnutzbaren, gefährdeten und wirklich wesentlichen Aspekten Rechnung zu tragen, anstatt hohen CVSS-Werten nachzujagen.

Schwachstellenbewertung ist von zentraler Bedeutung – und jetzt Teil eines dynamischen Systems, das sich an das Angreiferverhalten und geschäftliche Anforderungen anpasst.

Schwachstellenbewertungen sind hilfreich. Doch wenn nicht nachvollziehbar ist, wie diese Schwachstellen zur Exposure beitragen, wird nur ein Teilaspekt des Problems gelöst.

Exposure Management betrachtet sämtliche vermeidbaren Risiken (Schwachstellen, Fehlkonfigurationen, übermäßige Berechtigungen) im Verbund. Dadurch werden diejenigen Angriffspfade identifiziert, die Bedrohungsakteure ausnutzen könnten, um den größtmöglichen Schaden anzurichten – ob in Form von Störungen des Geschäftsbetriebs oder durch Exfiltration von sensiblen Daten.

Darüber hinaus identifiziert Exposure Management die Gegebenheiten, die die Sicherheitslage schwächen, und wirkt diesen entgegen. Hierzu zählen Schwachstellen sowie:

• Fehlerhaft konfigurierte Cloud-Services
• Identitäten mit übermäßigen Zugriffsrechten
• Unsichere externe Assets
• Offene Ports, abgelaufene Zertifikate, in Vergessenheit geratene APIs

In diesem Kontext liefern CVSS-Bewertungen den Baseline-Schweregrad einer Schwachstelle. Doch Tenable geht noch einen Schritt weiter, indem Bewertungen in ein breiter gefasstes Framework für kontinuierliches Exposure Management eingebunden werden. 

Genau hier verdeutlicht Tenable One die Zusammenhänge zwischen Schwachstellenrisiken und tatsächlicher Exposure.

Doch wie sieht das in der Praxis aus?

• Eine Schwachstelle mit einer CVSS-Bewertung von 5,5 könnte für sich genommen ignoriert werden. Doch bei entsprechender Verknüpfung mit einem System, das mit dem Internet verbunden ist und schwache IAM-Kontrollen aufweist, stuft Tenable One die Schwachstelle als hochriskant ein.
• Umgekehrt geht eine Schwachstelle mit einer CVSS-Bewertung von 9,8 unter Umständen mit keiner gravierenden Exposure für Unternehmen einher. Folglich könnte der Schwachstelle eine nachrangige Priorität zugewiesen werden – sofern sich der Bedrohungskontext nicht ändert.

Durch diese Integration von Bewertungen mit Exposure-Informationen können Unternehmen:

• Behebungsmaßnahmen auf diejenigen Schwachstellen fokussieren, durch die hochriskante Angriffspfade entstehen
• Visualisieren, zu welchen Überschneidungen es zwischen technischen Mängeln sowie Identitätsrisiken und der Sicherheitslage im Netzwerk kommt
• Verringerungen des tatsächlichen Risikos auf der Angriffsfläche messen und in Berichten erfassen, anstatt über CVSS-Bewertungen Bericht zu erstatten

Als Bestandteil von Exposure Management sind Bewertungen keine reinen Zahlenwerte mehr: Sie entwickeln sich zu Signalen, die Maßnahmen vorantreiben.

Zahlreiche Compliance-Frameworks setzen auf CVSS-Bewertungen, um Anforderungen an das Schwachstellenmanagement festzulegen und durchzusetzen. In Regulierungsbehörden kommen CVSS-Bewertungen jedoch auf unterschiedliche Weise zum Einsatz.

Beispiele für CVSS-Bewertungen im Compliance-Bereich:

• PCI DSS v4.0 schreibt vor, dass Schwachstellen mit einer CVSS-Bewertung von 7,0 oder höher innerhalb eines festgelegten Zeitraums behoben werden müssen.
• Im Health Insurance Portability and Accountability Act (HIPAA) ist nicht vorgesehen, dass eine Reaktion auf Schwachstellen mit einer gewissen CVSS-Bewertung innerhalb eines bestimmten Zeitrahmens erfolgen muss. Doch Risikobewertungen anhand des CVSS sind als Bestandteil der Sicherheitsprogramme von betroffenen Einrichtungen weithin anerkannt.
• NIST 800-53 und das NIST Cybersecurity Framework ordnen Kontrollmechanismen entsprechende CVSS-basierte Schwellenwerte zu, die bei der Nachverfolgung von Schwachstellen und bei Reaktionsmaßnahmen zur Behebung greifen.
• ISO/IEC 27001 erkennt CVSS-Bewertungen gemäß Anhang A.12.6.1 (technisches Schwachstellenmanagement) als Tool zur Risikobewertung an.

Prüfer nutzen CVSS-Bewertungen:

• Zur Verifizierung der Frage, ob Unternehmen eine Ersteinschätzung von Schwachstellen vornehmen und Maßnahmen basierend auf festgelegten Schwellenwerten ergreifen
• Zur Bestätigung, dass SLAs für hohe/kritische Bewertungen vorhanden sind
• Zur Überprüfung der Frage, ob Zeitrahmen bei der Behebung eingehalten und nachverfolgt werden
• Zur Unterstützung der Dokumentation von kompensierenden Kontrollen bzw. der jeweiligen Risikoakzeptanz bei ungelösten Problemen

Beispiel: Bei vierteljährlichen Audits könnten Nachweise erforderlich sein, dass Unternehmen die meisten Schwachstellen mit einer CVSS-Bewertung von 7,0+ innerhalb von 30 Tagen gepatcht haben – oder das entsprechende Risiko formell akzeptieren.

Kommen Asset-Kritikalität und Ausnutzbarkeitssignale in Tenable One als weitere Ebenen zu CVSS-Bewertungen hinzu, lassen sich auch risikobasierte Ausnahmen rechtfertigen, die Compliance-Zwecke erfüllen, obwohl eine „perfekte“ Behebung nicht möglich ist.

CVSS-Bewertungen machen Compliance-Entscheidungen vertretbar – und dank Tenable sind diese Entscheidungen umsetzbar.

Das CVSS kommt in zahlreichen Unternehmen zum Einsatz, doch die effektive Nutzung des Systems stellt eine Herausforderung dar. Dies gilt insbesondere für Großunternehmen mit komplexen Angriffsflächen und mehreren IT-, Sicherheits- und Compliance-Teams. 

Doch selbst kleinere Unternehmen sind häufig mit ähnlichen Problemen konfrontiert.

Im Anschluss behandeln wir fünf häufige Herausforderungen bei der CVSS-Implementierung und zeigen auf, wie sie sich bewältigen lassen:

1. Scoring-Inkonsistenzen über verschiedene Tools hinweg

Problem: Verschiedene Scanner könnten derselben Schwachstelle unterschiedliche CVSS-Bewertungen bzw. Vektoren zuweisen, wodurch Teams nicht mehr klar ist, auf welche Bewertung sie sich verlassen können.

Lösung: Normalisieren Sie Bewertungen in Ihrer gesamten Umgebung anhand einer einzigen vertrauenswürdigen Quelle, beispielsweise der National Vulnerability Database (NVD), und validieren Sie Zeichenketten von Vektoren (sogenannte „Vector Strings“). Das von Tenable genutzte einheitliche Datenmodell vermeidet Diskrepanzen, indem Feststellungen über Tools und Umgebungen hinweg konsolidiert werden.

2. Übermäßiges Vertrauen in CVSS-Bewertungen zur Priorisierung

Problem: CVSS-Bewertungen sind Messgrößen für Schweregrade, nicht für Ausnutzbarkeit, Erreichbarkeit oder geschäftliche Auswirkungen. Teams, die nur Schwachstellen mit hohen CVSS-Bewertungen patchen, übersehen häufig echte Risiken.

Lösung: Nutzen Sie dynamische Risikosignale aus Tenable One, darunter VPR, Exploit-Daten und Asset-Kritikalität. Kombinieren Sie CVSS-Bewertungen mit Kontextinformationen zur Ausnutzungswahrscheinlichkeit und Exposure, um sich auf das wirklich Wesentliche zu fokussieren.

3. Vernachlässigte umgebungsbedingte Kennzahlen

Problem: Zahlreiche Unternehmen verzichten darauf, CVSS-Bewertungen an die eigenen Sicherheitsprioritäten anzupassen, was zu fehlerhafter Priorisierung führt.

Lösung: Legen Sie Richtlinien für umgebungsbedingte Bewertungen fest. Wenn Verfügbarkeit beispielsweise erfolgskritisch ist (z. B. im Gesundheitswesen), sollte die Gewichtung in Ihrer benutzerdefinierten CVSS-Formel entsprechend erhöht werden. Mit Tenable sind Sie in der Lage, Score-Anpassungen zu automatisieren.

4. Isoliert arbeitende Teams und fragmentierte Tools

Problem: Ohne gemeinsame Bewertungslogik bzw. Sichtbarkeit arbeiten Sicherheits-, Infrastruktur- und Compliance-Teams nebeneinander her. Priorisierung erfolgt nach subjektiven Kriterien oder wird in duplizierter Form vorgenommen.

Lösung: Zentralisieren Sie Sichtbarkeit durch Tenable One. Die Lösung bietet Dashboards und Warnmeldungen, die CVSS-Bewertungen beinhalten. Doch damit ist es nicht getan: Sämtliche Teams erhalten umsetzbare Signale – Cloud-Exposure, Zugriffspfade zu Identitäten, Lateral Movement-Risiken und vieles mehr.

5. CVSS-Skalierung erfordert Kontext

In Unternehmensumgebungen erweisen sich CVSS-Bewertungen als wirklich effektiv, wenn sie in Kombination mit den folgenden Aspekten zum Einsatz kommen:

• Threat-Intelligence und Exploit-Vorhersagen
• KI und Analytik zur Reduzierung von falsch-positiven Ergebnissen
• Bewertung der geschäftlichen Auswirkungen
• Cloud-Kontext und Asset-Wert in Echtzeit

Tenable bietet all das und bewirkt einen Wandel – von statischen Bewertungen hin zu einer dynamischen, risikobasierten Priorisierungs-Engine.

Tenable One kombiniert das CVSS als Fundament mit konkreten Signalen, Asset-Informationen und Geschäftskontext. Dadurch entsteht ein einheitliches Bewertungsmodell, das darauf ausgelegt ist, die wirklich wesentlichen Aspekte für Ihr Unternehmen zu priorisieren.

Aus den folgenden Gründen greifen statische CVSS-Bewertungen zu kurz:

• Sämtliche Umgebungen werden gleich behandelt
• Bewertungen erfolgen ohne Kenntnis davon, welche Systeme mit dem Internet verbunden sind
• Die Frage, ob Angreifer Schwachstellen aktiv ausnutzen, wird außer Acht gelassen
• Asset-Wert, Berechtigungsstufen und Angriffspfade bleiben unberücksichtigt

Laut CVSS-Bewertung handelt es sich bei einer bestimmten Schwachstelle um ein technisch schwerwiegendes Problem.

Tenable One beantwortet hingegen die Frage, ob die Schwachstelle zum gegenwärtigen Zeitpunkt technisch schwerwiegend, ausnutzbar und geschäftskritisch ist.

Scoring in Tenable One umfasst folgende Faktoren:

Scoring-Beispiel: Priorisierung in Aktion

Angenommen, in Ihrer AWS-Umgebung werden 120 Schwachstellen erkannt:

• 45 Schwachstellen weisen eine CVSS-Bewertung zwischen 7,0 und 9,8 auf
• Tenable One stuft 22 Schwachstellen als hochriskant ein – basierend auf konkreten Signalen
• Nur bei sieben Schwachstellen kommt es zu einer Überschneidung mit den sensibelsten Workloads bzw. am stärksten gefährdeten Cloud-Identitäten

Tenable One hilft Ihnen:

• Sich auf die sieben Schwachstellen zu fokussieren, die tatsächlich zu Risiken führen
• Alarmmüdigkeit und Rückstau bei Patches zu verringern
• Behebungsmaßnahmen auf Aspekte abzustimmen, die für die Führungsspitze Ihres Unternehmens wirklich wichtig sind: Umsatzeinbußen und Reputationsschäden

Tenable One ist kein Ersatz für das Common Vulnerability Scoring System (CVSS). Die Lösung optimiert dieses System, sodass Entscheidungen Kontextinformationen und nicht nur Scores zugrundeliegen.

Sind Sie bereit, über statische Bewertungen hinauszugehen? Vereinheitlichen Sie die Ansicht Ihrer Umgebung mit Tenable One und priorisieren Sie Schwachstellen anhand der Exposure, Ausnutzbarkeit und geschäftlichen Auswirkungen.

Was ist eine CVSS-Bewertung?

Bei einer CVSS-Bewertung handelt es sich um eine numerische Einstufung auf einer Skala von 0,0 bis 10,0, die dem jeweiligen technischen Schweregrad einer Software-Schwachstelle entspricht und auf standardisierten Kennzahlen basiert.

Ist das CVSS gleichbedeutend mit Risiken?

Nein. Das CVSS gibt Aufschluss über den Schweregrad, nicht über die Ausnutzungswahrscheinlichkeit oder geschäftlichen Auswirkungen einer Schwachstelle. Risiken hängen hingegen von der Ausnutzbarkeit, Exposure und dem jeweiligen Kontext ab.

Worin besteht der Unterschied zwischen CVSS und EPSS?

Mithilfe des CVSS wird der Schweregrad einer Schwachstelle gemessen. Das EPSS liefert hingegen eine Einschätzung der Wahrscheinlichkeit, mit der eine Schwachstelle innerhalb der nächsten 30 Tage durch Bedrohungsakteure ausgenutzt werden könnte. Für eine bessere Priorisierung sollten beide Systeme zum Einsatz kommen.

Kann ich CVSS-Bewertungen anpassen?

Ja. Mithilfe von umgebungsbedingten Kennzahlen können Anpassungen vorgenommen werden – je nach der spezifischen Bedeutung und den entsprechenden kompensierenden Kontrollen in Ihrer Umgebung.

Unterscheiden sich CVSS-Bewertungen zwischen Tools?

Unter Umständen. Die Interpretation von CVSS-Vektoren erfolgt nach subjektiven Kriterien. Prüfen Sie daher immer die vollständige Zeichenkette von Vektoren (den sogenannten „Vector String“), nicht nur den numerischen Wert.

Werden CVSS-Bewertungen bei Compliance-Audits akzeptiert?

Ja. CVSS-Bewertungen sind gemäß PCI DSS, NIST, ISO 27001 und vielen weiteren Frameworks anerkannt. Teams nutzen sie häufig zur Definition von Patching-SLAs und Risikoschwellen.

Kann ich CVSS-Bewertungen in DevSecOps-Workflows verwenden?

Durchaus. Sie können CVSS-Bewertungen in CI/CD-Pipelines nutzen, um Builds zu blockieren, automatisierte Behebungsmaßnahmen auszulösen oder SLAs durchzusetzen.

Welche Version des CVSS ist aktuell?

CVSS v4.0, veröffentlicht von FIRST im Jahr 2023, bietet größere Detailgenauigkeit und umfangreichere Automatisierungsunterstützung. In Unternehmen ist CVSS v3.1 auch heute noch weit verbreitet.

Wo kann ich eine CVSS-Bewertung berechnen?

Nutzen Sie den offiziellen CVSS-Rechner und geben Sie die jeweiligen grundlegenden, zeitabhängigen und umgebungsbedingten Werte ein.

Was ein CVSS-Assessment?

Ein CVSS-Assessment ist ein Verfahren, bei dem CVSS-Kennzahlen auf eine bekannte Schwachstelle angewendet werden, um den Schweregrad zu berechnen. Dieser Schweregrad kann dann zur Ersteinschätzung oder zu Compliance-Zwecken verwendet werden.

Was ist eine CVSS-Zertifizierung?

Es gibt keine formelle CVSS-Zertifizierung. Doch zahlreiche Zertifizierungen und Kurse im Sicherheitsbereich – etwa zum Certified Information Systems Security Professional (CISSP) – können CVSS-Bewertungen als Bestandteil des Schwachstellenanalyse-Trainings beinhalten.

Was ist ein CVSS-Test?

Bei CVSS-Tests wird in der Regel untersucht, wie Teams Schwachstellen bewerten oder bestätigen. Hierbei kann auch ein CVSS-Rechner zum Einsatz kommen, um mögliche Auswirkungen zu simulieren.

Was ist eine CVSS-Schwachstelle?

Eine CVSS-Schwachstelle ist eine veröffentlichte Schwachstelle, die mithilfe des CVSS-Frameworks analysiert und bewertet wurde und in der Regel eine CVE-ID aufweist.

CVE vs. CVSS: Worin besteht der Unterschied?

Eine CVE ist eine Kennung, mit der spezifische Schwachstellen nachverfolgt werden. Das CVSS hingegen ist das Bewertungssystem, das zur Einstufung des jeweiligen Schweregrads genutzt wird.

Das CVSS ist ein entscheidender Ausgangspunkt, beantwortet jedoch nicht sämtliche Fragen.

Es bietet Unternehmen die Möglichkeit, den Schweregrad von Schwachstellen über alle Systeme hinweg konsistent zu messen – in einer Form, die unabhängig von der individuellen technischen Kompetenz für alle Beteiligten nachvollziehbar ist.

Doch moderne Angriffsflächen umfassen die Cloud, Identitäten, operative Technologie (OT) sowie kurzlebige Assets und erfordern daher ein anpassungsfähiges Bewertungsmodell. Ein Modell, dass die jeweilige Exposure und nicht nur theoretische Auswirkungen erkennt. Ein Modell, das Schwachstellen basierend auf dem Geschäftsrisiko priorisiert, nicht anhand einer Zahl auf einer Skala. 

Genau das bietet Tenable One.

Das CVSS zeigt auf, wie schwerwiegend eine Schwachstelle unter Umständen sein könnte. Tenable One hingegen verdeutlicht, was zuerst behoben werden muss.