CVSS Erklärt - Bewertung von Sicherheitslücken und ihre Grenzen
CVSS erklärt
Der Common Vulnerability Scoring System (CVSS) ist ein international verbreiteter Standard zur Bewertung der Schwere von Sicherheitslücken. Das System weist Schwachstellen einen numerischen Wert zwischen 0.0 und 10.0 zu, um Risiken vergleichbar zu machen und Prioritäten bei der Behebung festzulegen. Die Bewertung basiert auf verschiedenen technischen Eigenschaften einer Schwachstelle. Dazu gehören unter anderem der Angriffsvektor, notwendige Berechtigungen, die Komplexität eines Angriffs sowie die möglichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems.
Die drei Bewertungsbereiche von CVSS
Base Score
Der Base Score beschreibt die grundlegenden technischen Eigenschaften einer Schwachstelle. Dazu gehört beispielsweise, ob ein Angriff über das Netzwerk möglich ist, ob zusätzliche Berechtigungen benötigt werden oder welche Auswirkungen ein erfolgreicher Angriff auf ein System haben kann.
Temporal Score
Der Temporal Score berücksichtigt Faktoren, die sich im Laufe der Zeit verändern können. Dazu gehören etwa die Verfügbarkeit von Exploits, veröffentlichte Sicherheitsupdates oder der aktuelle Reifegrad eines Angriffs.
Environmental Score
Der Environmental Score ermöglicht eine Anpassung der Bewertung an die konkrete Umgebung eines Unternehmens. Eine identische Schwachstelle kann in einer Testumgebung weniger kritisch sein als in einem produktiven System mit sensiblen Daten.
Kritische Betrachtung von CVSS
Obwohl CVSS häufig als objektiver Standard dargestellt wird, basiert die Bewertung in vielen Bereichen auf Annahmen und Interpretationen. Unterschiedliche Analysten können deshalb für dieselbe Schwachstelle unterschiedliche Scores vergeben. Ein weiterer Schwachpunkt liegt darin, dass CVSS den tatsächlichen Kontext einer IT-Umgebung nur eingeschränkt berücksichtigt. In realen Infrastrukturen entstehen Risiken oft erst durch die Kombination mehrerer Schwachstellen oder durch spezifische Architekturentscheidungen. Eine Schwachstelle mit einem niedrigen CVSS-Score kann daher in der Praxis sehr kritisch sein, wenn sie beispielsweise Teil eines Angriffspfades ist oder den Zugriff auf sensible Systeme ermöglicht. Umgekehrt können Schwachstellen mit einem hohen Score schwer ausnutzbar sein, wenn zusätzliche Schutzmechanismen vorhanden sind.
Aus diesem Grund nutzen erfahrene Penetrationstester den CVSS-Score vor allem als Orientierungshilfe. Die tatsächliche Risikobewertung erfolgt zusätzlich anhand realer Angriffsszenarien und möglicher Angriffspfade innerhalb einer konkreten Infrastruktur.
CVSS analysieren und berechnen
Mit dem CVSS 4.0 Decoder lassen sich CVSS-Vektoren aufschlüsseln und die einzelnen Parameter der Bewertung verständlich darstellen. Zur eigenen Berechnung von Scores kann außerdem der CVSS 4.0 Calculator verwendet werden. Dort lassen sich die einzelnen Metriken anpassen, um zu sehen, wie unterschiedliche Angriffsszenarien den resultierenden Score beeinflussen.
Schon kleine Änderungen einzelner Parameter können den finalen Score deutlich verändern. Deshalb sollte CVSS immer als Hilfsmittel zur Priorisierung verstanden werden und nicht als vollständige Bewertung eines realen Sicherheitsrisikos.
FAQ
Häufig gestellte Fragen
Ein Ethical Hacker ist jemand, der Systeme angreift – mit Erlaubnis und mit einem klaren Ziel: Sicherheitslücken finden, bevor sie ausgenutzt werden.
Ethical Hacker denken wie echte Angreifer. Sie suchen nicht nach theoretischen Problemen, sondern nach Wegen, um wirklich einzudringen, Daten abzugreifen oder Kontrolle zu erlangen. Der Unterschied zum Kriminellen ist nicht die Technik, sondern der Auftrag.
Bei Hackeroo heißt das: keine Show, kein Buzzword-Bingo. Wir testen gezielt, verantwortungsvoll und nachvollziehbar. Alles, was wir finden, wird sauber dokumentiert, bewertet und so erklärt, dass man es beheben kann.
Kurz gesagt: Ethical Hacker brechen ein, damit es später niemand anderes kann.
Ein Penetrationstest ist ein kontrollierter Angriff auf deine IT-Systeme – mit einem klaren Ziel: Schwachstellen finden, bevor es echte Angreifer tun.
Wir denken und handeln wie Angreifer. Wir scannen nicht nur oberflächlich, sondern versuchen gezielt, Sicherheitslücken auszunutzen: in Web-Anwendungen, APIs, Netzwerken, Cloud-Umgebungen oder internen Systemen. Dabei kombinieren wir automatisierte Tools mit viel manueller Analyse, Erfahrung und Kreativität.
Das Ergebnis ist kein Buzzword-Report, sondern eine klare Antwort auf die entscheidende Frage: Wie würde man wirklich bei euch reinkommen – und wie verhindert man genau das?
Ein Penetrationstest zeigt reale Risiken, priorisiert sie verständlich und liefert konkrete Handlungsempfehlungen. Kein Marketing, keine Checkliste. Echte Sicherheit.
Red Teaming ist ein realistischer Angriff auf dein Unternehmen – nicht auf ein einzelnes System, sondern auf das gesamte Sicherheitskonzept.
Im Gegensatz zu klassischen Penetrationstests folgt Red Teaming keinem festen Scope und keiner Checkliste. Ziel ist es, mit echten Angreifer-Taktiken unentdeckt so weit wie möglich zu kommen: technische Angriffe, Missbrauch von Prozessen, Umgehung von Kontrollen. Genau so, wie es reale Angreifer tun würden.
Der Fokus liegt nicht auf einzelnen Schwachstellen, sondern auf der Frage: Wie gut erkennt, verhindert und stoppt eure Organisation einen echten Angriff? Technik, Menschen und Prozesse werden dabei gemeinsam getestet.
Red Teaming zeigt gnadenlos ehrlich, wo Sicherheitsmaßnahmen greifen – und wo sie nur auf dem Papier existieren.
Der Unterschied liegt darin, wie viele Informationen der Pentester vor Testbeginn erhält.
Blackbox:
Keine Vorabinformationen. Der Pentester startet nahezu ohne Wissen – vergleichbar mit einem externen Angreifer.
Das ist realistisch, aber ineffizient, da viel Zeit in reine Informationsbeschaffung fließt statt in die strukturierte Prüfung der gesamten Angriffsoberfläche.
Mehr Informationen zum Blackbox Pentest.
Greybox:
Der Pentester erhält alle relevanten Informationen wie Netzwerkbereiche, Subdomains oder Test-Accounts.
Dadurch kann effizient und strukturiert getestet werden.
In der Praxis ist das meist der sinnvollste und wirtschaftlichste Ansatz.
Mehr Informationen zum Greybox Pentest.
Whitebox:
Volle Transparenz. Dokumentation, Konfigurationen und oft auch der Quellcode werden bereitgestellt.
Das ermöglicht maximale technische Tiefe, kann jedoch audit-ähnlich werden und ist nicht immer effizienter.
Mehr Informationen zum Whitebox Pentest.
Unsere Empfehlung:
Ein gut vorbereiteter Greybox Pentest bietet in den meisten Fällen die beste Balance aus Realismus, Tiefe und Effizienz.
