Ratingsystem für Schwachstellen von Microsoft abhängig

Das ‘Common Vulnerability Scoring System’ (CVSS) steht vor einer ungewissen Zukunft. IT-Großunternehmen wie Cisco und Microsoft hatten das ambitionierte Projekt im Februar 2005 gestartet. Schwachstellen in Software werden darin in einem System von eins bis zehn bewertet. Geplant war, mit diesem einheitlichen Schema proprietäre Lösungen zu ersetzen.

Ob das gelingt, dürfte vor allem vom Verhalten Microsofts abhängen. Redmond hat CVSS zwar mitbegründet, seine eigene Form des Sicherheits-Ratings bislang jedoch beibehalten. Die Kunden hätten das gefordert, sagte Kevin Kean, Chef des Microsoft Security Response Center, in US-Medien. Wenn die Kunden es verlangten, werde Microsoft in seinen Sicherheitshinweisen künftig auch CVSS unterstützen.

Redmond sei “die größte Quelle von Schwachstellen auf Desktops”, sagte John Pescatore, Vice President beim Marktforscher Gartner. Wenn Microsoft dem CVSS die kalte Schulter zeige, könne es lange dauern, bis sich das Ratingsystem durchsetze. CVSS sei besonders hilfreich, wenn man entscheiden wolle, welcher Patch zuerst eingespielt werden müsse, so Pescatore.

Der Betreiber des CVSS – das ‘Forum of Incident Response and Security Teams’ (First) – forderte derweil die Software-Hersteller auf, das Ratingsystem zu unterstützen. Cisco liefert bereits Bewertungen nach CVSS – allerdings nicht in den Advisories, sondern auf der Site MySDN. Derweil kündigten Internet Security Systems (ISS), Qualys und Symantec an, das Ratingsystem künftig in ihre Hinweise einzubinden.