CVSS: Einheitlicher Standard zur Einstufung von IT-Gefahren rückt näher

Das Common Vulnerability Scoring System (CVSS) sieht eine feinere Einstufung vor, die sich an einer Skala von 1 bis zehn orientiert. Das tatsächliche Risiko für die Unternehmen sollen Anwender dann mit Hilfe eines Werts berechnen können, der von Informationen über die jeweilige IT-Infrastruktur hergeleitet ist. Das wäre beispielsweise für das Patch-Management hilfreich, da sich so Updates priorisieren ließen.

Die Entwicklung des CVSS begann vor etwas mehr als anderthalb Jahren unter der Aufsicht des US-amerikanischen National Infrastructure Advisory Council. Im Frühjahr 2005 starteten etwa 30 Hersteller damit, das System zu testen. Jetzt will sich das Forum of Incident Response and Security Teams (First), das die weltweite Entwicklungsarbeit koordinierte, für eine breitere Unterstützung von CVSS stark machen.

Anbieter wie Symantec, Internet Security Systems (ISS) oder Qualys unterstützen den Standard. Microsoft hält derzeit noch an seinem eigenen Schema fest, hat aber bereits signalisiert, CVSS zu adaptieren, wenn Anwender dies verlangen sollten.

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen. (mja/Martin Seiler)