„Passwort“ Folge 60: Sinn und Unsinn von CVSS, SSVC, EPSS und Co

Sicherheitslücken sollte man beheben – besonders gravierende Sicherheitslücken sollte man besonders schnell beheben. An sich eine Selbstverständlichkeit, aber woher weiß man, welche Lücken man sich besonders dringend ansehen muss? CVE-Nummern eignen sich dafür nicht, sie dienen lediglich der eindeutigen Identifizierung von Lücken. Aber um diese Nummern herum hat sich eine Vielzahl an Bewertungssystemen, Zusatzmetriken und Entscheidungsbäumen gebildet, die selbst Fachleute regelmäßig ins Grübeln bringt. In Folge 60 nimmt sich der Podcast eine ganze Episode Zeit für diverse verbreitete Sicherheits-Kennzahlen.

Als roter Faden dient eine konkrete, recht kritische Sicherheitslücke der jüngeren Vergangenheit: CVE-2026-41940. Anhand dieses Beispiels (und ein paar anderer Anekdoten) arbeiten sich die Hosts durch die verschiedenen Bewertungssysteme, angefangen bei CVSS, dem Common Vulnerability Scoring System: Christopher erklärt, was diese Scores in Version 3.1 und 4.0 jeweils abbilden – und was eben nicht. Denn zumindest der Base-Score von CVSS beschreibt die theoretische Gefährlichkeit einer Lücke auf einem System ohne jegliche Schutzmaßnahmen. Mit dem tatsächlichen Risiko in einer konkreten Umgebung und zu einem konkreten Zeitpunkt hat das oft wenig zu tun.

Daher versuchen optionale Erweiterungen von CVSS, solche veränderlichen Faktoren zu erfassen. Noch weiter gehen die ebenfalls im Podcast thematisierte Stakeholder-Specific Vulnerability Categorization (SSVC) und EPSS, das Exploit Prediction Scoring System. Letzteres soll die Wahrscheinlichkeit der tatsächlichen Ausnutzung einer Lücke berechnen. Auch die Common Weakness Enumeration (CWE) und die Common Platform Enumeration (CPE) kommen, einschließlich ihrer Probleme, zur Sprache.

Grundsätzlich erläutern die Hosts, warum es oft schwierig bis unmöglich ist, Sicherheitslücken unstrittig Schweregrade zuzuweisen. Unter anderem am Beispiel des berüchtigten „Scope“-Parameters in CVSS 3.1 illustriert Sylvester, dass die Bewertung mitunter zum Münzwurf verkommt. Am Ende steht die Frage, was all diese Kennzahlen letztlich nützen, und ob es nicht ein Irrweg ist, immer noch mehr Kennzahlen aus noch mehr Parametern zu errechnen. Einig sind sich die Hosts, dass Scores bei der Triage helfen mögen, aber keine der Metriken die Frage beantwortet, ob und wie schwer eine Lücke die eigene Organisation betrifft.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(syt)