Hört auf zu sammeln: Fixen Sie das Richtige!

Redaktion Redaktion  |
  • Schwachstellen- und Patch-Management
  • Einsteiger
Scoring: Hört auf zu sammeln: Fixen Sie das Richtige!

Scoring: Hört auf zu sammeln: Fixen Sie das Richtige!

Jeder Sicherheitsverantwortliche kennt das: Ein Blick auf das Vulnerability-Dashboard zeigt auch bei kleineren Organisationen schnell Hunderte, wenn nicht gar Tausende potenzielle Schwachstellen auf. Oft nutzen Unternehmen für das Priorisieren ausschließlich das Common Vulnerability Scoring System (CVSS) oder einen Vendor Score und begehen damit einen Denkfehler. BxC Security empfiehlt einen anderen Ansatz.

Zusammenfassung (TL; DR):

  • Vulnerability Management: Darum sollten Unternehmen auf kontextuelles Scoring setzen
  • CVSS und andere Scores beschreiben lediglich die technische Schwere einer Schwachstelle in einer generischen Umgebung.
  • Kontextuelles Scoring hilft Organisationen beim Schwachstellenmanagement Kapazitäten dort einzusetzen, wo sie am dringendsten gebraucht werden.

Denn CVSS und andere Scores beschreiben lediglich die technische Schwere einer Schwachstelle in einer generischen Umgebung. Diese ist jedoch nicht identisch mit dem Risiko, welches immer auch kontextabhängig ist. So muss eine hohe Schwere nicht automatisch ein hohes Risiko bedeuten, wenn die Schwachstelle beispielsweise schwer auszunutzen ist. Umgekehrt kann aber eine Schwachstelle mit niedriger Schwere im konkreten Fall ein hohes Risiko bedeuten, wenn diese sehr leicht ausgenutzt werden kann.

Daher sollten Unternehmen Schwachstellen kontextbezogen anhand von drei Faktoren priorisieren:

  • Severity: Welchen CVSS-Score hat die Schwachstelle?
  • Impact: Wie wichtig ist das betroffene Asset für den Geschäftsbetrieb?
  • Likelihood: Wie realistisch ist die Ausnutzung in der konkreten Umgebung?

Dadurch verschiebt sich der Fokus im Vulnerability Mangement von „alles fixen“ zu „das Richtige fixen“. „Kontextuelles Scoring hilft Organisationen beim Schwachstellenmanagement Kapazitäten dort einzusetzen, wo sie am dringendsten gebraucht werden“, sagt Létitia Combes, Co-Gründerin und MD von BxC Security. „Nur weil eine Schwachstelle als schwer eingestuft wird, heißt es noch lange nicht, dass diese ein Risiko für das jeweilige Unternehmen bedeutet. Effektives Priorisieren anhand der konkreten Risikosituation ist gerade in Zeiten von immer mehr gemeldeten Schwachstellen entscheidend.“

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung