IT-Schwergewichte machen sich stark für Vulnerability Rating

Drei große IT-Konzerne haben sich jetzt zusammengetan, um auch ihre eigenen Probleme besser zu beseitigen: Security-Lücken in der Software sowie mögliche Angriffsflächen in den Lösungen sollen jetzt mit vereinten Kräften von Microsoft, Cisco und Symantec bekämpft werden. Dafür haben die Hersteller von Betriebssystemen, von Netzwerktechnik und von Security-Software jetzt zusammen mit Partnern ein Schema mit dem Namen ‘Common Vulnerability Scoring System’ (CVSS) aufgestellt.

Damit wollen sie ein Rating-System etablieren, das die Verwundbarkeit von Software untersuchen und offen legen soll, damit diese Lecks bekämpft werden können, bevor sie von Hackern entdeckt werden. Am Ziel der Wünsche der Initiatoren steht damit eine gemeinsame, wenn möglich industrieweite Sprache, mit der sich die Schwere eines möglichen Lecks klassifizieren lässt, so dass eine bestimmte Warnung einheitlich ergeht.

Doch die Idee ist nicht aus der Industrie allein gekommen: Das US-Ministerium für Homeland Security hat ein Projekt gestartet, das die Industrie in Sachen Klassifizierung von Softwarelücken an einen Tisch zwingt. Das System, das auch Ebay, Qualys, ISS und Mitre mit ausarbeiten sollen, wird mit mathematischen Algorithmen vorgehen. Die Kriterien, die berücksichtigt werden müssen, sind: die Wahrscheinlichkeit, dass ein außerhalb befindlicher Angreifer die Lücke überhaupt aufspüren kann, oder ob er sich zunächst Zugang zu einem geschlossenen Netzwerksystem verschaffen muss, um die Lücke zu finden.

Für die drei Konzerne, die dieses Projekt auf der RSA Konferenz 2005 vorstellten, ist entscheidend, dass möglichst alle unabhängigen Softwarehersteller und -Händler die Beschreibungssprache bald in ihren Produkten unterstützen, so dass CVSS industrieweit wirken kann.