Definition und Funktionsweise:
Das CVSS ist ein offener Industriestandard, der verwendet wird, um die Charakteristika und den Schweregrad von Cybersicherheits-Schwachstellen zu bewerten. Es generiert einen numerischen Score von 0.0 (kein Risiko) bis 10.0 (kritisches Risiko). Die Bewertung setzt sich aus verschiedenen Metriken zusammen, z. B. wie leicht die Lücke auszunutzen ist (übers Netzwerk oder nur mit physischem Zugriff?) und welche Auswirkungen sie auf Vertraulichkeit, Integrität und Verfügbarkeit hat.
Relevanz für SPS und Automatisierungstechnik:
- Priorisierung von Updates: Maschinenbauer und Betreiber erhalten fast täglich Meldungen über neue Schwachstellen in SPS-Firmwares oder Engineering-Tools. Der CVSS-Score hilft dabei, zu entscheiden, ob ein Patch sofort eingespielt werden muss (CVSS 9.8) oder bis zum nächsten Wartungsstillstand warten kann (CVSS 3.2).
- Schwachstellenmanagement: Regulatorische Vorgaben (NIS-2, CRA) fordern ein proaktives Schwachstellenmanagement. Das Überwachen der CVSS-Werte verbauter Komponenten ist hierfür essenziell.
→ Siehe auch: Schwachstellenmanagement (Vulnerability Management), Patch-Management (für OT)

