Web

Hilfe für das Patch-Management

19.09.2005

MÜNCHEN (COMPUTERWOCHE) - Ein herstellerübergreifender Standard für die Einstufung von IT-Sicherheitslecks ist in greifbare Nähe gerückt. Mit dem Common Vulnerability Scoring System (CVSS) könnte schon bald ein System bereitstehen, das weit über derzeit gebräuchliche, aber wenig aussagekräftige Einschätzungen von Schwachstellen wie "kritisch" oder "wichtig" hinausgeht.

CVSS sieht eine im Gegensatz dazu feinere Einstufung vor, die sich an einer Skala von 1 bis zehn orientiert. Das tatsächliche Risiko für ihr Unternehmen sollen Anwender dann mit Hilfe eines Werts berechnen können, der von Informationen über die jeweilige IT-Infrastruktur hergeleitet ist. Das wäre beispielsweise für das Patch-Management hilfreich, da sich so Updates priorisieren ließen.

Die Entwicklung des CVSS begann vor etwas mehr als anderthalb Jahren unter der Aufsicht des US-amerikanischen National Infrastructure Advisory Council. Im Frühjahr 2005 starteten etwa 30 Hersteller damit, das System zu testen. Jetzt will sich das Forum of Incident Response and Security Teams (First), das die weltweite Entwicklungsarbeit koordinierte, für eine breitere Unterstützung von CVSS stark machen.

Anbieter wie Symantec, Internet Security Systems (ISS) oder Qualys unterstützen den Standard. Microsoft hält derzeit noch an seinem eigenen Schema fest, hat aber bereits signalisiert, CVSS zu adaptieren, wenn Anwender dies verlangen sollten. (ave)