In der Vergangenheit galt das klassische Vulnerability Assessment (VA) als eine der wichtigsten Methoden zur Bewertung der IT-Sicherheit eines Unternehmens. In Kombination mit dem Common Vulnerability Scoring System (CVSS) konnten Schwachstellen identifiziert und priorisiert werden. Doch in der heutigen Bedrohungslandschaft ist diese Methode nicht mehr ausreichend.
Angreifer agieren zunehmend mit ausgeklügelten Techniken, und ein rein technischer Bewertungsansatz greift zu kurz. Moderne Cyberangriffe nutzen nicht nur Software-Schwachstellen, sondern auch Fehleinstellungen, Angriffsvektoren durch Drittanbieter und menschliche Fehler. Dieser Artikel erklärt, warum Unternehmen über traditionelle VA-Methoden hinausgehen müssen und welche modernen Sicherheitsstrategien notwendig sind.
Die Grenzen des Vulnerability Assessments und CVSS
Der Fokus auf bekannte Schwachstellen
Ein klassisches Vulnerability Assessment basiert auf einer Datenbank bekannter Schwachstellen (z. B. CVE-Datenbanken). Doch Angreifer nutzen nicht nur diese dokumentierten Lücken, sondern auch:
Zero-Day-Exploits: Schwachstellen, die noch nicht veröffentlicht oder gepatcht wurden.
Konfigurationsfehler: Fehlerhafte oder unsichere Systemeinstellungen, die keine CVE haben.
Angriffsvektoren über Drittanbieter: Zulieferer und Dienstleister mit ungesicherten Systemen.
Social Engineering: Manipulation von Mitarbeitern, um Zugangsdaten zu stehlen.
Ein reines VA kann diese Risiken nicht ausreichend abdecken.
CVSS-Bewertung als unzureichender Risikofaktor
Das CVSS-System bewertet Schwachstellen auf einer Skala von 0 bis 10, doch es gibt erhebliche Schwächen:
Keine Berücksichtigung der Angriffsrealität: Eine Schwachstelle mit CVSS 9.8 kann in der Praxis irrelevant sein, während eine CVSS 4.0-Schwachstelle kritisch ist.
Keine Kontextbewertung: Ein CVSS-Score berücksichtigt nicht, ob ein Unternehmen tatsächlich von einer Schwachstelle betroffen ist.
Mangelnde Priorisierung nach Bedrohungsmodell: CVSS fokussiert sich auf die technische Schwere, nicht auf die tatsächliche Ausnutzbarkeit in der aktuellen Umgebung.
Fehlende Berücksichtigung von Exploitability und Taktiken der Angreifer
Nicht jede theoretische Schwachstelle wird in der Praxis ausgenutzt. Ein moderner Angreifer kombiniert:
Living off the Land Binaries (LOLBins): Missbrauch legitimer Systemwerkzeuge für Angriffe.
Initial Access Broker (IAB): Kriminelle verkaufen Zugangsdaten für Unternehmensnetzwerke.
Advanced Persistent Threats (APT): Langfristige, gezielte Angriffe, die nicht durch Standard-VA erkannt werden.
Moderne Sicherheitsansätze als Ergänzung
Threat Intelligence & Kontextanalyse
Statt nur CVSS-Scores zu betrachten, sollten Unternehmen Bedrohungsdaten aus unterschiedlichen Quellen einbeziehen:
Dark Web Monitoring: Beobachtung von Cyberkriminellen, die Unternehmensdaten oder Exploits handeln.
Attack Surface Management (ASM): Erfassung und Überwachung der externen Angriffsfläche.
Threat Intelligence Feeds: Aktuelle Angriffsmuster analysieren, um priorisierte Schutzmaßnahmen abzuleiten.
Red Teaming & Breach Simulationen
Während ein VA nur Schwachstellen auflistet, geht ein Red Teaming-Ansatz weiter:
Simulierte Angriffe testen, wie sich reale Bedrohungen gegen ein Unternehmen verhalten.
Breach and Attack Simulation (BAS) überprüft, ob Sicherheitsmaßnahmen tatsächlich greifen.
Purple Teaming kombiniert Offensive und Defensive, um Schwachstellen in der Verteidigung aufzudecken.
Zero Trust & Adaptive Security
Traditionelle Sicherheitsmodelle setzen auf Perimeterschutz. Moderne Unternehmen benötigen:
Zero Trust Architecture (ZTA): Kein System, Benutzer oder Gerät wird automatisch als vertrauenswürdig eingestuft.
Adaptive Security: Sicherheitsmaßnahmen werden dynamisch an Bedrohungslagen angepasst.
Continuous Threat Exposure Management (CTEM): Ständige Überprüfung und Anpassung der Schutzmaßnahmen.
Fazit: Ein Paradigmenwechsel ist notwendig
Ein reines Vulnerability Assessment mit CVSS-Bewertung reicht nicht mehr aus, um moderne Bedrohungen effektiv zu bekämpfen. Unternehmen müssen:
Kontextuelle Bedrohungsanalysen einbeziehen.
Angriffsvektoren außerhalb klassischer CVEs berücksichtigen.
Simulierte Angriffe durchführen, um reale Schwachstellen aufzudecken.
Moderne Sicherheitsstrategien wie Zero Trust und Adaptive Security implementieren.
Ein umfassender, proaktiver Ansatz ist der Schlüssel, um Cyberkriminellen einen Schritt voraus zu sein. Wer weiterhin nur auf CVSS und klassische Vulnerability Assessments setzt, läuft Gefahr, die nächste große Sicherheitslücke zu übersehen.