CVSS kontra Angriffswahrscheinlichkeit: Risikobewertung von Schwachstellen

Cyberkriminalität ist zu einem Geschäftsmodell geworden, das auf maximalen Gewinn abzielt: Angreifer verwenden die gleichen Techniken mehrfach und automatisieren ihr Vorgehen, um möglichst viele Ziele erfolgreich zu erpressen. Der Fall „WannaCry“ aus dem Jahr 2017 ist das beste Beispiel hierfür.

Obwohl „WannaCry“ damals großen Schaden anrichtete, hatte diese Ransomware – wie viele andere auch – einen Vorteil: Unternehmen hätten sich auf sie vorbereiten können. Denn laut „Verizon Data Breach Incident Report“ lassen sich 85 Prozent des durch Exploits entstehenden Schadens auf etwa ein Dutzend Sicherheitslücken zurückführen. Die verbleibenden 15 Prozent nutzen weitere ca. 900 CVEs (Common Vulnerabilities Exposures) aus. Unternehmen, die sich bislang nur auf die gemäß CVSS als besonders kritisch bewerteten Schwachstellen konzentrierten, können ihre Sicherheit deutlich maximieren, indem sie in die Beseitigung genau der Schwachstellen investieren, die am wahrscheinlichsten angegriffen werden – und zu denen es im Unternehmen einen Angriffsvektor gibt (Exposure) […]

Quelle: Risikobewertung von Schwachstellen | Security-Insider.de