CVSS sieht eine im Gegensatz dazu feinere Einstufung vor, die sich an einer Skala von eins bis zehn orientiert. Das tatsächliche Risiko für ihr Unternehmen sollen Anwender dann mit Hilfe eines Werts berechnen können, der von Informationen über die jeweilige IT-Infrastruktur hergeleitet ist. Das wäre beispielsweise für das Patch-Management hilfreich, da sich so Updates priorisieren ließen.
Die Entwicklung des CVSS begann vor etwas mehr als anderthalb Jahren unter der Aufsicht des US-amerikanischen National Infrastructure Advisory Council. Im Frühjahr 2005 starteten etwa 30 Hersteller damit, das System zu testen. Jetzt will sich das Forum of Incident Response and Security Teams (First), das die weltweite Entwicklungsarbeit koordinierte, für eine breitere Unterstützung von CVSS stark machen.
Anbieter wie Symantec, Internet Security Systems (ISS) oder Qualys unterstützen den Standard. Microsoft hält derzeit noch an seinem eigenen Schema fest, hat aber bereits signalisiert, CVSS zu adaptieren, wenn Anwender dies verlangen sollten. (Martin Seiler / ala)
Literatur zum Thema IT-Sicherheit |
Titelauswahl |
---|---|
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |