CVSS-Rechner

Was ist ein CVSS-Score?

CVSS (Common Vulnerability Scoring System) ist eine standardisierte Methode zur Bewertung des Schweregrads von Software-Schwachstellen. Es liefert einen Wert von 0,0 bis 10,0 basierend auf mehreren Auswirkungs- und Ausnutzungsfaktoren.

So funktioniert es

1. Wählen Sie Werte für jeden Vektor (z. B. AV, AC, PR).

2. Basiswert und Vektor-String werden automatisch berechnet.

3. Kopieren und in Ihre Sicherheitsberichte oder Audits einfügen.

User Interaction (UI)

Die User-Interaction-Metrik misst, ob eine Schwachstelle unabhängig ausgenutzt werden kann oder ob ein Benutzer aktiv mitwirken muss.

• None: Der Angreifer benötigt keine fremde Hilfe. Die Schwachstelle kann ohne Benutzerinteraktion ausgelöst werden, was das Risiko tendenziell erhöht.

• Required: Die Ausnutzung ist nur möglich, wenn ein legitimer Benutzer eine bestimmte Aktion ausführt, z. B. einen Link anklickt, einen E-Mail-Anhang öffnet oder eine Installation durchführt. Diese Abhängigkeit kann die Wahrscheinlichkeit eines erfolgreichen Angriffs reduzieren.

Availability (A)

Bei der Bewertung der Verfügbarkeit in CVSS v3.1 wählen Sie aus drei Stufen:

• High (schlimmster Fall): Der Angreifer kann den Zugriff auf Ressourcen der Zielkomponente vollständig verhindern, z. B. durch einen kompletten Dienstausfall.

• Low (schlecht): Die Leistung kann nachlassen oder es kommt zu gelegentlichen Unterbrechungen. Der Dienst ist nicht vollständig ausgefallen, aber die Auswirkungen sind spürbar.

• None (gut): Kein Einfluss auf die Betriebszeit oder den Ressourcenzugriff des Systems.

Integrity

Bei der Bewertung der "Integrity"-Metrik in CVSS v3.1 wird gemessen, wie stark ein Angreifer geschützte Daten oder Systemressourcen manipulieren kann:

• High: Schlimmstes Szenario. Ein Angreifer kann beliebige Daten verändern oder Änderungen mit schwerwiegenden, direkten Konsequenzen vornehmen.

• Low: Ein Angreifer kann einige unerlaubte Änderungen vornehmen, aber deren Umfang oder Auswirkungen sind begrenzt.

• None: Kein Angriffspotenzial auf Daten. Die Integrität bleibt vollständig erhalten.

Beispiele für Attack Vectors und Privilege Requirements

Attack Vectors (AV)

Attack Vector beschreibt, wie ein Angreifer eine Schwachstelle ausnutzen kann:

• Network: Ein klassischer Remote-Exploit, z. B. ein Angreifer, der speziell gestaltete Pakete über das Internet an einen Webserver sendet.

• Adjacent: Der Angreifer muss sich im selben lokalen Netzwerk oder einer begrenzten administrativen Domäne befinden.

• Local: Diese Angriffe erfordern, dass der Angreifer bereits Zugang zum System hat, z. B. direkt am Gerät oder über eine Remote-Shell-Verbindung.

• Physical: Der Angreifer muss physischen Zugang zur Hardware haben, z. B. durch das Anschließen eines USB-Geräts.

Privilege Requirements (PR)

Die PR-Metrik beschreibt, welchen Zugangslevel ein Angreifer benötigt:

• None: Kein Zugang oder Login erforderlich. Angriff auf eine öffentlich zugängliche Web-Anwendung ohne Berechtigungen.

• Low: Grundlegende Benutzerberechtigungen erforderlich, z. B. ein reguläres Konto ohne Administratorrechte.

• High: Erhebliche Systemberechtigungen erforderlich, z. B. Administrator- oder Root-Zugang.

Attack Complexity (AC)

Low: Der Angriff erfordert minimalen Aufwand. Kein spezieller Zugang oder seltene Bedingungen. Ein Angreifer kann bei der angegriffenen Komponente wiederholt Erfolg erwarten.

High: Ein erfolgreicher Angriff ist nicht geradlinig. Er hängt von Faktoren ab, die außerhalb der direkten Kontrolle des Angreifers liegen, und erfordert zusätzliche Vorbereitung oder spezifische Umstände.

Wie CVSS v3.1 den Vertraulichkeitseinfluss klassifiziert

CVSS v3.1 kategorisiert den Einfluss auf die Vertraulichkeit in drei Stufen:

• High: Schlimmstes Szenario. Sensible Daten werden vollständig dem Angreifer zugänglich, z. B. Administrator-Passwörter oder private Verschlüsselungsschlüssel.

• Low: Der Angreifer erhält eingeschränkten Zugang zu vertraulichen Informationen, der Schaden ist jedoch begrenzt.

• None: Goldener Standard. Keine vertraulichen Informationen werden kompromittiert.

Direkte vs. indirekte Auswirkungen in CVSS v3.1

• Direkte Auswirkungen: Entstehen, wenn die Aktionen eines Angreifers unmittelbar und erheblich die Komponente beeinflussen, z. B. Zugriff auf Administrator-Passwörter oder vollständiger Dienst-Ausfall.

• Indirekte Auswirkungen: Die Auswirkungen sind weniger direkt oder schwerwiegend, z. B. gelegentliche Leistungsprobleme oder begrenzte Datenzugriffe ohne unmittelbare kritische Folgen.

Was bedeutet "Scope" in CVSS v3.1 und wie wirken sich "Changed" und "Unchanged" auf den Score aus?

Scope beschreibt, ob eine Schwachstelle bei Ausnutzung nur das betrifft, was die ursprüngliche Sicherheitsbehörde kontrolliert, oder ob sie über diese Grenzen hinausgeht.

• Unchanged: Eine ausgenutzte Schwachstelle kann nur Ressourcen beeinflussen, die von derselben Sicherheitsbehörde verwaltet werden.

• Changed: Eine ausgenutzte Schwachstelle kann Ressourcen außerhalb des ursprünglichen Sicherheitsbereichs betreffen, möglicherweise unter vollständig anderen Verwaltungszuständigkeiten.

Kernfunktionen

• Unterstützt CVSS v3.1-Bewertung

• Dynamische Vektor-String-Generierung

• Echtzeit-Score-Aktualisierungen

• Einfache Benutzeroberfläche für schnelle Sicherheitsbewertungen

• Ideal für Compliance, DevSecOps und Bug-Bounty-Einreichungen

Beispiel-Ausgabe

Schweregrad-Score-Vektor:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Score: 9.8 - Critical

Bedeutung von "Worst", "Worse", "Bad" und "Good" in CVSS v3.1

Diese Begriffe dienen als schnelle Kurzform auf einer Skala vom kritischsten bis zum geringsten Einfluss:

• Worst: Schwerwiegendstes Szenario, z. B. eine Schwachstelle, die über das Internet zugänglich ist.

• Worse: Knapp unter "Worst". Immer noch gefährlich, aber etwas eingeschränkter.

• Bad: Bedeutsame negative Auswirkung, aber weniger gravierend als die oberen Stufen.

• Good: Gunstigstes Szenario, kaum oder kein Risiko oder Einfluss.

Häufige Anwendungsfälle

• Penetrationstests und Red Teaming

• DevSecOps-Sicherheits-Gates

• Priorisierung von Software-Patches

• Sicherheits-Compliance (ISO 27001, SOC 2)

• Bug-Bounty-Einreichungen

Empfohlene Begleit-Tools

• Passwort-Generator zur Absicherung von Endpoints

• Token-Generator für API-Simulationen

• UUID-Generator zur eindeutigen ID-Generierung im Bug-Tracking

• IP-Adress-Generator für Netzwerksimulationen