17. Oktober 2011 - Sicherheitslücken

CWSS: So bewerten Sie das Risiko von Schwachstellen

Wenn eine Sicherheitslücke auftaucht, stellt sich stets die Frage nach den erforderlichen Schutzmaßnahmen und der notwendigen Priorität für die Behebung. Entscheidend ist dabei das potenzielle Datenrisiko. Bei der Bewertung kann ein neues System, das Common Weakness Scoring System (CWSS), hilfreich sein.

wie-sich-das-risiko-durch-schwachstellen-bewerten-lasst.jpeg
Schwachstellen-Bewertungssysteme wie CWSS helfen bei der Priorisierung von Sicherheitslücken (Bild: THinkstock)

Eine Frage der Prioritäten

Tauchen gleichzeitig verschiedene Sicherheitslücken in einem Unternehmen auf, stellt sich die Frage, welche Priorität besitzt und als erstes beseitigt wird. Doch wie lässt sich die Priorität ermitteln?

Geringes, mittleres oder großes Datenrisiko?

Ein Maßstab wäre sicherlich das Risiko, das für die jeweils betroffenen personenbezogenen Daten besteht. Nun ist ein Risiko generell zu verstehen als das Produkt aus der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe. Dies ist jedoch für Sicherheitslücken in der IT erst einmal wenig konkret. Doch es gibt Bewertungssysteme für Schwachstellen, die Ihnen helfen können.

CWSS liefert Unterstützung

Unter den Bewertungssystemen für Schwachstellen hat das neue CWSS (Common Weakness Scoring System) im Vergleich zu anderen Systemen wie dem CVSS (Common Vulnerability Scoring System) deutliche Vorteile. So berücksichtigt das CWSS (cwe.mitre.org /cwss/) auch den Typ der möglicherweise betroffenen Daten und die Geschäftsprozesse, bei denen die Schwachstelle eine Rolle spielen könnte.

Schritt für Schritt zur Bewertung mit CWSS

Wenn Sie eine Schwachstelle gefunden haben oder gemeldet bekommen, sollten Sie auf Bewertungssysteme wie CWSS zurückgreifen. Dort finden Sie für zahlreiche Typen von Sicherheitslücken eine Einstufung. Wichtig ist es jedoch, das Prinzip hinter CWSS zu verstehen.

Zuerst einmal unterscheidet CWSS

  • Schwachstellen, die bei einer speziellen Software auftreten (Targeted),
  • Schwachstellen, die ihr Risiko unabhängig von der jeweiligen Software entfalten (Generalized) und
  • Schwachstellen, die das Risiko bei bestimmten Geschäftsprozessen verstärken (Context-adjusted)

Zudem bewertet CWSS das Zusammenwirken der Schwachstelle mit anderen Sicherheitslücken (Aggregated).

Die Priorität einer Schwachstelle bestimmt CWSS anhand von 18 verschiedenen Faktoren, die in drei Gruppen unterteilt werden:

  1. die Basisgruppe, die das Risikopotenzial der Schwachstelle, die Zuverlässigkeit der Entdeckung und die Stärke der Kontrollmaßnahmen berücksichtigt
  2. die Angriffspotenzial-Gruppe, die die Barrieren berücksichtigt, die ein Angreifer überwinden muss, um die Schwachstelle auszunutzen
  3. die Umgebungsgruppe, die die geschäftliche Bedeutung der Schwachstelle, die Wahrscheinlichkeit der Ausnutzung und das Vorhandensein externer Kontrollen beschreibt

Entsprechende Faktoren finden Sie als Download in einer Übersicht, die Sie auch für Ihre eigenen Einstufungen einer Schwachstelle nutzen können.

Schwachstellen-Scanner bieten ergänzend eine automatische Bewertung

Neben der eher manuellen Bewertung und Priorisierung von Sicherheitslücken über CWSS stehen Ihnen als Unterstützung auch die sogenannten Schwachstellen-Scanner zur Verfügung. Oftmals sind sie bereits Teil der Anti-Malware-Lösungen, die auf jedem Endgerät installiert sein sollten. Zusätzlich gibt es auch zentrale Schwachstellen-Scanner, die über das Netzwerk nach Sicherheitslücken suchen und diese bewerten.

Letztlich nutzen solche Schwachstellen-Scanner ähnliche Konzepte wie CWSS zur Schwachstellenbewertung. Meist lassen sie jedoch den geschäftlichen Zusammenhang, in dem die Schwachstelle gefunden wird (z.B. Bewerberdaten-Management, Kundendaten-Verwaltung) außer Acht. Hier ist ein System wie CWSS deshalb in jedem Fall eine gute und wichtige Ergänzung zur Priorisierung von Schwachstellen und ihrer Behebung.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln