Mit der Veröffentlichung von CVSS 4.0 erhält das Schwachstellenmanagement einen angepassten Standard, der die Bewertung und Priorisierung von IT-Sicherheitslücken auf ein neues Niveau hebt. Unternehmen, die auf eine effektive Steuerung und gezielte Risikominimierung setzen, profitieren von der verbesserten Granularität und Transparenz des Common Vulnerability Scoring System (CVSS). Im Folgenden erläutern wir, warum das Update für Ihr Schwachstellenmanagement relevant ist, wie die neuen Metriken funktionieren und wie Sie CVSS 4.0 strategisch für Ihre IT-Sicherheit einsetzen.

Schwachstellen zu identifizieren, effizient zu bewerten und zu priorisieren ist als Herausforderung so alt wie das Schwachstellenmanagement selbst und die Korrektur und Anpassung der Methoden notwendig. CVSS 4.0 adressiert die Defizite der bisherigen Version 3.1, indem es eine differenzierte und realitätsnähere Bewertung ermöglicht. Während CVSS 3.1 oftmals zu einer Inflation hoher Scores führte, sorgt die neue Version durch feinere Metrikgruppen und eine klarere Trennung der Einflussfaktoren für mehr Präzision - ein entscheidender Vorteil im täglichen Schwachstellenmanagement.

Ein wesentliches Merkmal von CVSS 4.0 ist die strikte Trennung der Einflussfaktoren. Um die Datenherkunft eines Scores transparent zu machen, wird eine spezifische Nomenklatur verwendet: 

• CVSS-B (Base Score): Bildet die intrinsischen Eigenschaften einer Schwachstelle ab. Er ist über die Zeit und über verschiedene Umgebungen hinweg konstant. 
• CVSS-BT (Base + Threat): Integriert die Exploit Maturity. Hier wird bewertet, ob für die Schwachstelle bereits funktionstüchtiger Exploit-Code existiert oder ob die Ausnutzung rein theoretisch ist. 
• CVSS-BE (Base + Environmental): Ermöglicht es Unternehmen, den Score an ihre spezifische Infrastruktur anzupassen (z. B. durch vorhandene Sicherheitskontrollen wie Firewalls oder Air-Gaps). 
• CVSS-BTE (Base + Threat + Environmental): Stellt den umfassendsten Wert dar und sollte die primäre Basis für operative Patch-Entscheidungen bilden.

Mit CVSS 4.0 werden neue Metriken eingeführt, die die Bewertung von Schwachstellen noch genauer machen. 

Attack Requirements (AT) vs. Attack Complexity (AC) 

In CVSS 3.1 wurden externe Bedingungen oft fälschlicherweise unter "Attack Complexity" subsumiert. CVSS 4.0 trennt dies: 

• Attack Complexity (AC): Misst den technischen Aufwand zur Umgehung von Schutzmechanismen (z. B. ASLR oder Verschlüsselung). 
• Attack Requirements (AT): Erfasst spezifische Deployment-Szenarien, die ein Angreifer nicht kontrollieren kann (z. B. eine erforderliche, nicht standardmäßige Software-Konfiguration). Sind diese Anforderungen hoch, sinkt der Score. 
   

User Interaction (UI) 

Die Unterscheidung zwischen Passive (P) und Active (A) Interaktion erhöht die Genauigkeit bei Client-Side-Schwachstellen. Während ein passiver Angriff (z. B. das reine Laden eines Bildes) kritischer bewertet wird, senkt eine erforderliche aktive Handlung (z. B. das bewusste Akzeptieren mehrerer Sicherheitswarnungen) die Priorität. 

Supplemental Metrics (Optionale Zusatzwerte) 

Diese Werte fließen nicht in die mathematische Formel des Scores ein, bieten aber kritische Metadaten für das Risk-Board: 

• Safety: Relevanz für die physische Integrität von Personen (kritisch für OT/ICS-Umgebungen). 
• Automatable: Bewertung der "Wurmfähigkeit" für automatisierte Massenangriffe.
• Recovery: Zeitaufwand und Komplexität der Wiederherstellung (Resilienz-Faktor).

CVSS 4.0 ist ein Instrument zur Bewertung bekannter Schwachstellen (Vulnerabilities). Es muss jedoch von Modellen abgegrenzt werden, die bereits in der Designphase oder zur allgemeinen Risikoquantifizierung eingesetzt werden. 

STRIDE: Identifikation von Bedrohungskategorien 

STRIDE ist ein von Microsoft entwickeltes Modell für das Threat Modeling während der Softwareentwicklung. 

• Spoofing (Identitätsvortäuschung) 
• Tampering (Manipulation von Daten) 
• Repudiation (Abstreitbarkeit) 
• Information Disclosure (Informationsenthüllung) 
• Denial of Service (Dienstverweigerung) 
• Elevation of Privilege (Rechteausweitung) 

Verhältnis zu CVSS 4.0: STRIDE findet die potenziellen Schwachstellen in der Architektur, bevor Code geschrieben wird. CVSS 4.0 bewertet diese erst, wenn sie als reale Fehler im fertigen Produkt identifiziert wurden. 

DREAD: Die subjektive Risiko-Matrix 

DREAD dient der Priorisierung identifizierter Risiken anhand von fünf Kategorien: 

1. Damage Potential: Wie hoch ist der Schaden? 
2. Reproducibility: Wie einfach lässt sich der Angriff wiederholen? 
3. Exploitability: Wie viel Aufwand erfordert der Exploit? 
4. Affected Users: Wie viele Anwender sind betroffen? 
5. Discoverability: Wie leicht ist die Lücke zu finden? 

Verhältnis zu CVSS 4.0: DREAD ist stark qualitativ und oft subjektiv (Skala 1–10 pro Kategorie). Während CVSS 4.0 eine globale Vergleichbarkeit anstrebt, ist DREAD ein internes Werkzeug zur schnellen, aber weniger standardisierten Risikoeinschätzung. 
 

OSSTMM-RAV: Operative Metrik der Angriffsfläche 

Das Open Source Security Testing Methodology Manual nutzt den Risk Assessment Value (RAV). Im Gegensatz zu CVSS bewertet RAV nicht die Lücke, sondern die Operative Sicherheit. 

• Fokus: Es berechnet die "Porosity" einer Angriffsfläche und wie die Separation durch Controls kompensiert wird und welche Limitierungen den RAV schwächen 
• Verhältnis zu CVSS 4.0: CVSS liefert einen Input-Wert für die Schwere einer Lücke. Der RAV-Wert gibt an, wie viel Security das Gesamtsystem dieser Lücke entgegensetzt.

Die Einführung von CVSS 4.0 erzwingt einen Paradigmenwechsel im Schwachstellenmanagement. Die reine Orientierung am technischen Base Score ist unter den neuen Anforderungen nicht mehr zeitgemäß.

1. Kontextualisierung: Organisationen müssen die Environmental-Metriken nutzen, um ihre spezifischen Sicherheitskontrollen einzupreisen. Dies verhindert eine Überlastung der Teams durch "False Positives" mit hohem Base Score. 
2. Datenintegration: Die Threat-Metrik erfordert die Integration von Threat-Intelligence-Feeds, um tagesaktuelle Informationen über die Exploit-Verfügbarkeit zu erhalten. 
3. Komplementärer Einsatz: CVSS 4.0 sollte als Teil einer Kette verstanden werden. STRIDE identifiziert Gefahren, CVSS bewertet die Schwere der Funde, und OSSTMM validiert die Effektivität der Gegenmaßnahmen. 

Durch die höhere Trennschärfe und die Einbeziehung funktionaler Sicherheit (Safety) wird CVSS 4.0 zu einem präzisen Steuerungsinstrument, das die Lücke zwischen technischer Analyse und geschäftlicher Risikobewertung schließt.

Wir bei audius begleiten Sie auf dem Weg zu einem modernen und effektiven Schwachstellenmanagement. Unsere Experten unterstützen Sie bei der Implementierung von CVSS 4.0, der Integration in Ihre bestehenden Prozesse und der optimalen Nutzung aller neuen Metriken. Durch unsere umfassenden Security-Services – von Security-Checks und Penetrationstests bis zur strategischen Beratung – helfen wir Ihnen, Risiken gezielt zu erkennen, zu bewerten und zu minimieren. Profitieren Sie von unserer Erfahrung, unserem Fachwissen und unserer partnerschaftlichen Zusammenarbeit, um Ihre IT-Sicherheit nachhaltig zu stärken.