Warum CVSS allein nicht reicht

Viele Unternehmen setzen auf den CVSS-Score, um IT-Sicherheitslücken zu bewerten. Das ist eine gängige und sinnvolle Praxis, denn der CVSS-Score bietet eine erste Einschätzung der technischen Schwere einer Schwachstelle.

Doch was, wenn das nicht aussagekräftig genug ist? Der CVSS allein sagt nichts darüber aus, wie wahrscheinlich eine Schwachstelle wirklich ausgenutzt wird. Dadurch besteht die Gefahr, wertvolle Ressourcen auf theoretische Risiken zu verschwenden, während tatsächlich kritische Sicherheitslücken unbemerkt bleiben.

Hier kommen EPSS und Perzentile ins Spiel: Sie helfen dabei, Schwachstellen nach ihrer realen Gefährlichkeit zu priorisieren. In diesem Blog erfahren Sie, warum diese Faktoren entscheidend sind und wie Sie mit ihnen Ihr Cyber-Risikomanagement optimieren.

 (Common Vulnerability Scoring System)

Ein Bewertungssystem zur Einschätzung der technischen Schwere einer Schwachstelle von 0 bis 10, jedoch ohne Berücksichtigung der tatsächlichen Angriffswahrscheinlichkeit.

(Exploit Prediction Scoring System)

Ein datengetriebenes Modell, das die Wahrscheinlichkeit berechnet, mit der eine Schwachstelle in den nächsten 30 Tagen ausgenutzt wird.

Eine statistische Methode, um eine Schwachstelle im Vergleich zu allen anderen zu bewerten. Eine Perzentile von 0.84 bedeutet, dass die Schwachstelle gefährlicher ist als 84 % aller anderen – es handelt sich also um eine Art „Ranking“ zur besseren Einschätzung.

Vergleichen wir in einem realen Szenario zwei Schwachstellen:

Wer nur auf den CVSS-Score schaut, würde sich zuerst mit der Behebung der kritischen Schwachstelle befassen, während die potenziell hohe Gefahr durch die mittelschwere Schwachstelle vernachlässigt wird.

Die Perzentile zeigen, wie eine Schwachstelle im Vergleich zu anderen eingestuft wird – defacto eine Art von „Ranking“ zur schnelleren Einschätzung:

Perzentile von 0.84 = Diese Schwachstelle ist gefährlicher als 84 % aller anderen Schwachstellen.

Perzentile von 0.99999 = Diese Schwachstelle gehört zu den 0,001 % der gefährlichsten Schwachstellen – ein absolutes Hochrisiko!

Das hilft Unternehmen, die kritischsten Bedrohungen zu identifizieren und ihre Ressourcen gezielt einzusetzen.

Falsch priorisierte CVEs kosten Zeit und Geld durch Maßnahmen für irrelevante Sicherheitslücken

False Positive: Eine Schwachstelle wird fälschlicherweise als kritisch eingestuft, obwohl sie in der Praxis kein großes Risiko darstellt.

= Kostenfalle

Falsch zurückgestellte CVEs sind eine unbeachtete Gefahr für das Unternehmen

False Negative: Eine tatsächlich gefährliche Schwachstelle wird übersehen oder als harmlos eingestuft.

= Sicherheitslücke

CVSS bewertet die theoretische Schwere einer Schwachstelle, aber nicht deren realen Impact. Erst durch die Kombination mit EPSS und Perzentile erhalten Unternehmen ein realistisches Bild davon, welche Schwachstellen sie wirklich priorisieren sollten.

In der Cyber Risk Management Plattform nutzen Sie die Vorteile einer intelligenten Risikobewertung:

• Gezielte Priorisierung: Schwachstellen mit hoher Angriffswahrscheinlichkeit zuerst beheben.
• Effiziente Ressourcennutzung: Zeit und Kosten sparen, indem unnötige Fixes vermieden werden.
• Besserer Schutz: Echt gefährliche Schwachstellen rechtzeitig erkennen und schließen.

Erfahren Sie, warum CVSS allein nicht ausreicht, wie EPSS die Risikobewertung optimiert und wie SEQiFY automatisch die wirklich kritischen Schwachstellen identifiziert – für eine effiziente, smarte Priorisierung.