Compliance-Lexikon · Technik
CVSS
[siː viː ɛs ɛs] · Common Vulnerability Scoring System · auch: Schwachstellenbewertungssystem
Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard zur Bewertung der Schwere von Sicherheitsschwachstellen – mit Scores von 0 bis 10, die auf der Grundlage von Angriffseigenschaften (Vektor, Komplexität, Privileges, Auswirkung) berechnet werden und als Grundlage für Patch-Priorisierung dienen.
Warum CVSS ein Kern-Technikbegriff der IT-Compliance ist
CVSS ist eine technische Sicherheitsmassnahme, die in allen wesentlichen Compliance-Frameworks als Anforderung oder Best Practice gelistet ist. ISO 27001, NIS-2 und DORA setzen CVSS voraus – nicht als optionales Extra, sondern als Grundbestandteil eines wirksamen Sicherheitsprogramms. Im Audit wird geprüft, ob die Massnahme implementiert ist, ob sie wirksam konfiguriert ist und ob die Wirksamkeit nachgewiesen werden kann.
Wo CVSS gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIST NVD | vollständig | National Vulnerability Database: CVSS als Standardbewertungssystem fuer alle CVEs. |
| ISO 27001:2022 | A.8.8 | Technisches Schwachstellenmanagement: CVSS als Priorisierungsinstrument. |
| NIS-2 / BSIG | § 30 Abs. 2 | Schwachstellenmanagement mit risikobasierter Priorisierung – CVSS als Standard. |
| DORA | Art. 9 | Schwachstellenmanagement: Risikobasierte Priorisierung erfordert standardisierte Bewertung. |
| BSI | BSI-Schwachstellenampel | BSI nutzt CVSS als Grundlage für seine Schwachstellenwarnungen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Massnahme implementiert, aber Konfiguration nicht dokumentiert
- Wirksamkeit nicht regelmässig geprueft – Drift von der Baseline unbemerkt
- Abdeckung unvollständig – nicht alle relevanten Systeme einbezogen
- Kein Nachweis der Massnahmenwirksamkeit für den Auditor
Policy as Code: Technische Massnahmen als pruefbare Artefakte
Der Leitgedanke dieser Kategorie ist Policy as Code: Sicherheitsanforderungen werden nicht nur als Richtlinien dokumentiert, sondern als technische Konfigurationen implementiert, die automatisch pruefbar sind. Für CVSS bedeutet das: Die Konfiguration ist versioniert, die Wirksamkeit wird kontinuierlich gemessen und die Ergebnisse werden als Evidence archiviert. Das macht den Abstand zwischen Richtlinie und Wirklichkeit sichtbar – und schliesst ihn systematisch.
Abdeckung und Ausnahmen
Vollständige Abdeckung aller relevanten Systeme ist der kritische Punkt: Eine Massnahme, die 95 Prozent der Systeme schutzt, hinterlasst fünf Prozent als Einstiegspunkte. Ausnahmen (Legacy-Systeme, OT, Testsysteme) muessen explizit dokumentiert und mit Kompensationsmassnahmen oder risikoakzeptierten Restrisiken versehen sein. Undokumentierte Ausnahmen sind im Audit stets ein Befund.
Nächste Ebene
CVSS in der Praxis: Konfiguration, Abdeckung und Evidence
Was Auditoren bei CVSS konkret pruefen und welche Evidence benoetigt wird.