Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?

In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte. 

Heute im Fokus: 

Frage #18: Wie werden gefundene Schwachstellen bewertet?

Ein standardisiertes Bewertungssystem für das Gefahrenpotenzial von Schwachstellen gibt es nicht. Dennoch bewerten die meisten Anbieter Schwachstellen sehr ähnlich, nach einem Schema, bei dem das Gefahrenpotenzial in die Kategorien niedrig, mittel, hoch und kritisch eingeteilt ist. Die Kategorien lassen sich grob folgendermaßen interpretieren:

kritisch: Diese Schwachstelle stellt ein inakzeptables Risiko dar. Die Anwendung darf nicht live geschaltet werden; falls bereits geschehen, ist sie umgehend zu deaktivieren.

hoch: Diese Schwachstelle ist umgehend, ggf. im Rahmen eines Notfall-Patches, zu beheben. Weitergehende Maßnahmen zur Risikovermeidung bis zur Behebung sind in Betracht zu ziehen.

mittel: Diese Schwachstelle ist zu beheben, auch dann, wenn dies mit (moderaten) Zusatzkosten oder anderen (moderaten) Nachteilen verbunden ist.

niedrig: Die Behebung kann regulär in die Releaseplanung aufgenommen werden.

Manchmal kommt ein weiterer Parameter (Eintrittswahrscheinlichkeit oder Komplexität) hinzu, der Auskunft darüber gibt, wie schwierig es ist, die Schwachstelle zu finden und auszunutzen – also wie wahrscheinlich es ist, dass der Schadensfall über die jeweilige Schwachstelle auch tatsächlich eintritt.

Frage #19: Und was ist ein Application Security Penetrationstest nicht?

„Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen“ (Quelle: Wikipedia). Beim Entwurf hatte man hinsichtlich der Application Security Anwendungen „von der Stange“ im Sinn, nicht jedoch die speziellen Anforderungen kundenspezifischer Webanwendungen, die von ihrer Natur Unikate sind. Dennoch hat der CVSS in den letzten Jahren mangels besserer Alternativen auch für die Bewertung von Schwachstellen in kundenspezifischen Webanwendungen immer mehr Verbreitung gefunden. Im CVSS ergibt sich der Gesamtscore einer Schwachstelle aus der Zusammenführung einer Reihe von isoliert zu ermittelnden Bewertungen einzelner Aspekte (Metriken) unter Berücksichtigung von in der Berechnungsformel hinterlegten Gewichtungen.

So muss man sagen, dass die zunehmende Verbreitung im Bereich der Application Security weniger der besonders guten Eignung als vielmehr dem Mangel an Alternativen zuzuschreiben ist. Folgende Erfahrungen sollten bei der Verwendung des CVSS berücksichtigt werden:

● Wenn die Vergleichbarkeit der Bewertung über viele Anwendungen und/oder verschiedene Pentester wichtig ist – beispielsweise ist das der Fall bei großen Unternehmen mit vielen Anwendungen oder bei der Einbindung in DevOps-Prozesse – sollte der CVSS als Bewertungsschema in Betracht gezogen werden.

● Unternehmen, die hin und wieder Pentests durchführen oder wo die Vergleichbarkeit aus anderen Gründen keine Rolle spielt, sollten eher das Kriterium der Einfachheit zugrundelegen. Der CVSS ist dann nicht die erste Wahl.

● Kontraproduktiv wirkt der CVSS dann, wenn die Regeln für die aus einer Schwachstelle zu ziehenden Konsequenzen zu starr festgeschrieben werden. Wenn also im Rahmen des Deplymentprozesses ein Score, der einen festgelegten Schwellwert überschreitet, automatisch dazu führt, dass der – möglicherweise kurz bevorstehende und für das Geschäft sehr wichtige – Go-Live platzt. Der Prozess sollte daher unbedingt eine Feedbackschleife enthalten, die sicherstellt, dass Schwachstellenbewertungen mit schwerwiegenden Konsequenzen einer Detailbegutachtung unterzogen werden dürfen und die CVSS-Bewertung manuell korrigiert werden kann.

Die Application Security Penetration Test FAQ für Auftraggeber enthält Antworten auf 40 weitere Fragen, die es bei der Planung, Beauftragung und Durchführung von Penetrationstests zu beachten gilt.