Bei der Bewertung von Schwachstellen ist die bekannteste Metrik der CVSS-Score. CVSS steht für Common Vulnerability Scoring System und ist aktuell in Version 4.0 verfügbar. Das CVSS beschreibt ein Verfahren zur Bewertung der technischen Schwere von Schwachstellen. Dieser Standard wird global in Sicherheitsdatenbanken, Security-Tools und Herstellerhinweisen verwendet.
Das Ergebnis dieser Bewertung ist ein Wert zwischen 0.0 und 10.0. Ein höherer Wert steht dabei für eine schwerwiegendere technische Auswirkung. Der angezeigte Wert basiert auf verschiedenen Eigenschaften/Metriken einer Schwachstelle. Durch diese Werte lässt sich der CVSS-Score berechnen. In einem CVSS-Vector-String, werden diese Metriken kompakt beschrieben.
CVSS hilft somit, Schwachstellen technisch einzuordnen und miteinander zu vergleichen. In vielen Security-Tools bildet der Wert deshalb eine wichtige Grundlage für die Priorisierung von Maßnahmen. Die Bewertung einer Schwachstelle im eigenen organisatorischen Kontext sollte jedoch um weitere Informationen erweitert werden.
Überblick über die CVSS-Versionen
CVSS entwickelt sich fortlaufend weiter. Version 1.0 startete 2005 als Forschungsprojekt des NIAC, seitdem verwaltet FIRST die Weiterentwicklung. Kontinuierliche Updates setzen Feedback um, erfüllen neue Anforderungen und ermöglichen realistischere Bewertungen.
| Version | Veröffentlichung | Besonderheiten |
|---|---|---|
| v1 | 2005 | Erstes NIAC Forschungsprojekt; einfache Base-Metriken |
| v2 | 2007 | Einführung von Temporal- und Environmental-Metriken |
| v3.0 | 2015 | Grundlegende Überarbeitung: Präzisere Base-Metriken; verbesserte Formel |
| v3.1 | 2019 | Klärung von Definitionen und Beispielen zu v3.0; keine Änderungen an Metriken/Formel |
| v4.0 | 2023 | Neue Metriken; Überarbeitung des Berechnungmodells |
Aktuell wird der CVSS-Score häufig aus Version 3.1 errechnet. Version 4.0 findet langsam Einzug.
CVSS v2
Die erste weit verbreitete Version des Common Vulnerability Scoring System war CVSS v2, veröffentlicht im Jahr 2007 durch FIRST. Ziel war es, eine einheitliche Methode zu schaffen, mit der die technische Schwere von Schwachstellen bewertet und zwischen verschiedenen Organisationen vergleichbar gemacht werden kann. Der Score wird aus mehreren Eigenschaften einer Schwachstelle berechnet und liegt im Bereich von 0.0 bis 10.0.
CVSS v2 basiert auf drei Gruppen von Metriken. Die Base-Metriken beschreiben grundlegende Eigenschaften einer Schwachstelle, etwa über welchen Weg ein Angriff möglich ist, wie komplex dieser ist und welche Auswirkungen auf Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Diese Eigenschaften gelten unabhängig von einer konkreten Umgebung und bilden die Basis für den technischen Schweregrad.
Die Temporal-Metriken berücksichtigen Faktoren, die sich im Laufe der Zeit verändern können, etwa ob bereits ein Exploit existiert, ob ein Patch verfügbar ist oder wie zuverlässig die Informationen zur Schwachstelle sind. Die Environmental-Metriken ermöglichen zusätzlich eine Anpassung an die eigene Umgebung. Organisationen können damit zum Beispiel berücksichtigen, welche Bedeutung ein betroffenes System im eigenen Betrieb hat oder welche Sicherheitsanforderungen für bestimmte Daten gelten.
Mit der zunehmenden Nutzung von CVSS zeigte sich jedoch, dass insbesondere einige Base-Metriken zu ungenau definiert waren und unterschiedliche Interpretationen zuließen. Diese Einschränkungen führten später zur Entwicklung von CVSS v3.0, v3.1 sowie v4.0.
CVSS v3.1
Mit CVSS v3 wurde das Bewertungssystem grundlegend überarbeitet. Die erste Version dieser Generation, CVSS v3.0, wurde 2015 veröffentlicht. Im Jahr 2019 folgte mit CVSS v3.1 eine überarbeitete Spezifikation durch FIRST. Die Berechnungsformel und die Metriken blieben dabei unverändert. Version 3.1 präzisierte vor allem Definitionen, Beispiele und Bewertungsrichtlinien, um unterschiedliche Interpretationen bei der Bewertung von Schwachstellen zu reduzieren.
Wie bereits bei früheren Versionen ergibt sich aus der Bewertung ein Score zwischen 0.0 und 10.0, der die technische Schwere einer Schwachstelle beschreibt. Die Berechnung basiert weiterhin auf drei Gruppen von Metriken: Base, Temporal und Environmental.
Die Metriken und der CVSS-Vector-String
Die Eigenschaften einer Schwachstelle werden im sogenannten CVSS-Vector-String dargestellt. Dieser String enthält die einzelnen Bewertungsparameter. Der endgültige CVSS-Score ergibt sich aus den jeweiligen Metriken, welcher im Vector-String dargestellt wird.
Ein solcher Vector-String besteht aus mehreren Abkürzungen und muss zumindest die Base-Metriken enthalten. Ein typisches Beispiel sieht wie folgt aus:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Zu Beginn des Strings ist ersichtlich, welche CVSS-Version verwendet wird. Danach folgen die einzelnen Metriken, getrennt durch Schrägstriche. Jede Metrik besteht aus einem Key-Value-Paar, wobei Schlüssel und Wert durch einen Doppelpunkt getrennt sind. Der angegebene Vector beschreibt beispielsweise eine Schwachstelle, die über das Netzwerk (AV:N) ausnutzbar ist, eine geringe Komplexität (AC:L) aufweist, keine Berechtigungen (PR:N) oder Benutzerinteraktion (UI:N) erfordert und hohe Auswirkungen auf Vertraulichkeit (C:H), Integrität (I:H) und Verfügbarkeit (A:H) haben kann. Der CVSS-Score mit solchen Base-Metriken beträgt 10.0. Beispiele von solchen Schwachstellen sind CVE-2026-20131, CVE-2026-20127 oder CVE-2025-55182.
Für die Base-Metriken in CVSS v3.1 werden folgende Kürzel und Werte verwendet:
| Kürzel | Metrik | mögliche Werte | Beschreibung |
|---|---|---|---|
| AV | Attack Vector | N (Network) A (Adjacent) L (Local) P (Physical) |
Über welchen Weg ein Angriff erfolgen kann |
| AC | Attack Complexity | L (Low) H (High) |
Wie schwierig ein Angriff umzusetzen ist |
| PR | Privileges Required | N (None) L (Low) H (High) |
Welche Berechtigungen ein Angreifer bereits besitzen muss |
| UI | User Interaction | N (None) R (Required) |
Ob ein Benutzer eine Aktion durchführen muss |
| S | Scope | U (Unchanged) C (Changed) |
Ob sich die Auswirkungen über die ursprüngliche Sicherheitsgrenze hinaus ausbreiten |
| C | Confidentiality Impact | N (None) L (Low) H (High) |
Auswirkungen auf Vertraulichkeit |
| I | Integrity Impact | N (None) L (Low) H (High) |
Auswirkungen auf Integrität |
| A | Availability Impact | N (None) L (Low) H (High) |
Auswirkungen auf Verfügbarkeit |
Je einfacher eine Schwachstelle auszunutzen und je höher die mögliche Auswirkung ist, desto höher ist der Schweregrad. Werden zusätzlich Temporal- oder Environmental-Metriken gesetzt, wird der Score auf Basis aller angegebenen Metriken neu berechnet.
Die vollständige Spezifikation und Berechnungsformel zu CVSS v3.1 ist unter der FIRST CVSS 3.1 Spezifikation abrufbar.
CVSS v4.0
Mit CVSS v4.0 wurde das Bewertungssystem grundlegend überarbeitet, um Schwachstellen präziser zu beschreiben und zusätzliche Kontextinformationen besser abzubilden. Eine wichtige Änderung ist die klarere Unterscheidung zwischen verschiedenen Bewertungsarten. Beim CVSS-Score soll angezeigt werden, welche Metriken in diesen eingeflossen sind. Neben dem reinen Base Score (CVSS-B) können nun auch Kombinationen mit Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) oder Base + Threat + Environmental (CVSS-BTE).
Im Bereich der Base-Metriken ist beispielsweise die Metrik Attack Requirements (AT) ergänzt worden. Diese soll anzeigen, ob zusätzliche Voraussetzungen für einen Angriff erforderliche sind. Auch die User-Interaction-Metrik wurde erweitert und unterscheidet nun zwischen passiver und aktiver Benutzerinteraktion. Gleichzeitig wurde das frühere Scope-Konzept entfernt und durch eine explizite Bewertung der Auswirkungen auf das verwundbare System (VC, VI, VA) sowie auf nachgelagerte Systeme (SC, SI, SA) ersetzt.
Zusätzlich führt CVSS v4.0 eine neue Gruppe von Supplemental Metrics ein. Diese liefern zusätzliche Informationen über Eigenschaften einer Schwachstelle, etwa Automatisierbarkeit, Sicherheitsauswirkungen oder den erwarteten Aufwand zur Behebung. Diese Metriken beeinflussen jedoch nicht direkt den CVSS-Score, sondern dienen der besseren Kontextualisierung einer Schwachstelle.
Ebenfalls wurden die zeitabhängigen Bewertungsfaktoren überarbeitet. Die früheren Temporal Metrics wurden in Threat Metrics umbenannt und vereinfacht. Einige Metriken aus früheren Versionen, wie Remediation Level und Report Confidence, wurden entfernt. Die Bewertung der Exploit-Reife wurde dagegen als Exploit Maturity (E) mit neuen Bewertungsstufen definiert.
Die Metriken und CVSS-Vector-String
Für die Berechnung des CVSS-Scores ist jedenfalls die Base-Metrik erforderlich. Die Base-Metrik wurde in drei Untergruppen geteilt:
- Exploitability Metrics: Technische Eigenschaften zur Ausnutzung der Schwachstelle (5 Werte).
- Vulnerable System Impact Metrics: Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit (3 Werte).
- Subsequent System Impact Metrics: Ersatz für Scope aus CVSS v3 und bewertet die Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit über das Vulnerable System hinaus (35 Werte).
Auch in CVSS v4.0 werden die Eigenschaften einer Schwachstelle in einem CVSS-Vector-String dargestellt. Ein Beispiel für einen Vector-String in CVSS v4.0:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Wie bereits bei früheren Versionen beginnt der String mit der verwendeten CVSS-Version. Danach folgen die einzelnen Bewertungsparameter, die jeweils wieder als Key-Value-Paar angegeben werden. Basierend auf dem Vector-String kann die Schwachstelle über das Netzwerk ausgenutzt werden (AV:N) und erfordert keine besonderen Angriffsvoraussetzungen (AC:L, AT:N). Ein Angreifer benötigt keine bestehenden Berechtigungen (PR:N) und auch keine Benutzerinteraktion (UI:N). Die möglichen Auswirkungen auf das betroffene System werden in den Impact-Metriken beschrieben. In diesem Beispiel kann eine erfolgreiche Ausnutzung erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des verwundbaren Systems haben (VC:H, VI:H, VA:H). Bei der Ausnutzung der Schwachstelle sind keine Subsequent Systems verwundbar (SC:N, SI:N, SA:N). Basierend auf dem angegeben Vector-String ist der CVSS-Score 9.3
Werte in Base-Metric: Exploitability
Die Exploitability Metrics beschreiben, wie leicht sich eine Schwachstelle grundsätzlich ausnutzen lässt. Dazu gehören Faktoren wie der mögliche Angriffsweg, die Angriffskomplexität, erforderliche Berechtigungen oder notwendige Benutzerinteraktionen. Diese Metriken konzentrieren sich ausschließlich auf die Frage, unter welchen technischen Voraussetzungen ein Angriff möglich ist.
| Kürzel | Metrik | mögliche Werte | Beschreibung |
|---|---|---|---|
| AV | Attack Vector | N (Network) A (Adjacent) L (Local) P (Physical) |
Über welchen Weg ein Angriff erfolgen kann |
| AC | Attack Complexity | L (Low) H (High) |
Wie schwierig ein Angriff umzusetzen ist |
| AT | Attack Requirements | N (None) P (Present) |
Müssen zusätzliche Voraussetzungen für einen Angriff erfüllt sein |
| PR | Privileges Required | N (None) L (Low) H (High) |
Welche Berechtigungen ein Angreifer benötigt |
| UI | User Interaction | N (None) P (Passive) A (Active) |
Ob Benutzerinteraktion erforderlich ist |
Werte in Base-Metric: Vulnerable System Impact
Die Vulnerable System Impact Metrics beschreiben die direkten Auswirkungen einer erfolgreichen Ausnutzung auf das betroffene System selbst. Dabei wird bewertet, welche Folgen ein Angriff auf die Vertraulichkeit, Integrität oder Verfügbarkeit des verwundbaren Systems haben kann. Diese Metriken zeigen also, welche Schäden unmittelbar an dem System entstehen, auf dem sich die Schwachstelle befindet.
| Kürzel | Metrik | mögliche Werte | Beschreibung |
|---|---|---|---|
| VC | Vulnerability Confidentiality Impact | H (High) L (Low) N (None) |
Auswirkungen auf Vertraulichkeit |
| VI | Vulnerability Integrity Impact | H (High) L (Low) N (None) |
Auswirkungen auf Integrität |
| VA | Vulnerability Availability Impact | H (High) L (Low) N (None) |
Auswirkungen auf Verfügbarkeit |
Werte in Base-Metric: Subsequent System Impact
Die Subsequent System Impact Metrics betrachten mögliche Auswirkungen auf andere Systeme oder Sicherheitsbereiche, die nach einer erfolgreichen Ausnutzung der Schwachstelle betroffen sein können. Ein Angriff kann beispielsweise zunächst ein einzelnes System kompromittieren und anschließend Zugriff auf weitere Systeme oder Daten ermöglichen. Diese Metriken helfen dabei, solche Folgewirkungen über die ursprüngliche Systemgrenze hinaus in der Bewertung zu berücksichtigen.
| Kürzel | Metrik | mögliche Werte | Beschreibung |
|---|---|---|---|
| SC | Subsequent Confidentiality Impact | H (High) L (Low) N (None) |
Auswirkungen auf Vertraulichkeit über das Vulnerable System hinaus |
| SI | Subsequent Integrity Impact | H (High) L (Low) N (None) |
Auswirkungen auf Integrität über das Vulnerable System hinaus |
| SA | Subsequent Availability Impact | H (High) L (Low) N (None) |
Auswirkungen auf Verfügbarkeit über das Vulnerable System hinaus |
Berechnung des CVSS-Scores
Das Scoring von CVSS v4.0 basiert auf einem neuen Ansatz zur Bewertung der Schwere von Schwachstellen. Während frühere Versionen den Score direkt über eine feste mathematische Formel berechnet haben, wurde für CVSS v4.0 zunächst eine große Anzahl möglicher Vektoren analysiert. Dabei wurden rund 15 Millionen mögliche Kombinationen von CVSS-Metriken betrachtet und anhand ihrer qualitativen Schwere miteinander verglichen.
Der wichtigste Unterschied zu CVSS v3.1 liegt also nicht nur in neuen Metriken, sondern auch im Berechnungsmodell selbst. CVSS v4.0 verwendet dagegen einen stärker datenbasierten Ansatz: Die möglichen Kombinationen von Metriken werden zunächst nach ihrer qualitativen Schwere gruppiert und anschließend über Lookup-Tabellen und Interpolation in einen Score überführt.
Die vollständige Spezifikation und Berechnungsformel zu CVSS v4.0 ist unter FIRST CVSS 4.0 Spezifikation und der User Guide unter Common Vulnerability Scoring System version 4.0: User Guide abrufbar. Diese Ressourcen beschreiben die Möglichkeiten von CVSS v4.0 im Detail.
Kategorisierung des Schweregrads
Der CVSS-Score einer Schwachstelle kann auch in einer von fünf Bezeichnungen eingeteilt werden. Diese qualitativen Schweregrade bleiben für v3 und v4 ident. So wird für v4 eine Rückwärtskompatibilität zu v3 sichergestellt.
| Wert | Bezeichnung |
|---|---|
| 0.0 | None |
| 0.1 – 3.9 | Low |
| 4.0 – 6.9 | Medium |
| 7.0 – 8.9 | High |
| 9.0 – 10.0 | Critical |
Einfluss von CVSS in die organisatorische Bewertung
CVSS stellt seit vielen Jahren das Fundament für die Bewertung der Schwere einer Schwachstelle. Der Score liefert eine standardisierte Grundlage, um Schwachstellen zwischen verschiedenen Herstellern, Produkten und Organisationen vergleichbar zu machen. In vielen Security-Tools dient er daher als erster Anhaltspunkt für die Priorisierung von Maßnahmen.
CVSS berücksichtigt organisatorische Besonderheiten über sogenannte Environmental-Metriken. Die Eigenschaften einer Schwachstelle können dabei über Modified-Metriken wie Modified Attack Vector (MAV), Modified Attack Complexity (MAC) oder Modified Privileges Required (MPR) an die eigene Umgebung angepasst werden. Damit kann sich der resultierende Score gegenüber der ursprünglichen Bewertung verändern, etwa wenn ein System nur intern erreichbar ist oder zusätzliche Angriffsvoraussetzungen bestehen. In der Praxis werden diese Environmental- und Modified-Metriken jedoch vergleichsweise selten genutzt, da öffentliche Datenbanken und Hersteller meist nur Base-Scores veröffentlichen und die zusätzlichen Informationen von Organisationen für jede Schwachstelle selbst erhoben und gepflegt werden müssten.
Für eine sinnvolle Priorisierung reicht der CVSS-Score allein jedoch selten aus. Erst durch zusätzliche Informationen über betroffene Systeme, ihre Rolle im eigenen Betrieb und den organisatorischen Kontext entsteht eine fundierte Grundlage, um Schwachstellen sinnvoll zu priorisieren.
