Close

Schweregrade von Sicherheitsvorfällen


Schweregrade

Die Sicherheitsempfehlungen von Atlassian enthalten Angaben zu Schwergraden. Diese Schwergrade basieren auf einer von uns ermittelten CVSS-Bewertung (Common Vulnerability Scoring System) für jede spezifische Schwachstelle, die in der Branche üblicherweise genutzt wird. Auf FIRST.org kannst du mehr über das CVSS erfahren.

  • Kritisch
  • Hoch
  • Mittel
  • Niedrig

Für CVSS v3 verwendet Atlassian das folgende Bewertungssystem für den Schweregrad:

CVSS V3-BEWERTUNGSBEREICH
EMPFOHLENER SCHWEREGRAD

0,1 – 3,9

Niedrig

4,0 – 6,9

Mittel

7,0 – 8,9

Hoch

9,0 – 10,0

Kritisch

In manchen Fällen zieht Atlassian weitere, nicht mit der CVSS-Bewertung zusammenhängende Faktoren heran, um den Schweregrad von Sicherheitslücken zu bewerten. Dieser Ansatz wird von der CVSS-v3.1-Spezifikation unterstützt:

Profitipp:

Verbraucher können CVSS-Informationen als Grundlage für einen organisatorischen Schwachstellenmanagementprozess verwenden, der auch Faktoren berücksichtigt, die nicht Teil von CVSS sind, um die Bedrohungen ihrer Technologieinfrastruktur einzustufen und fundierte Entscheidungen zur Behebung zu treffen. Zu diesen Faktoren können gehören: Anzahl der Kunden in einer Produktlinie, finanzielle Verluste aufgrund von Datenschutzverletzungen, Bedrohung des Lebens oder Eigentums oder die öffentliche Meinung bei stark in den Medien diskutierten Schwachstellen. Diese Faktoren liegen außerhalb des Umfangs von CVSS.

Falls Atlassian diesen Ansatz verfolgt, beschreiben wir, welche zusätzlichen Faktoren berücksichtigt wurden und aus welchem Grund, wenn wir die Schwachstelle öffentlich machen.

Es folgen einige Beispiele für Schwachstellen, die mit einem bestimmten Schweregrad verknüpft sind. Bitte beachte, dass die Details deiner Installation bei dieser Bewertung nicht berücksichtigt werden und die Ergebnisse nur als Anhaltspunkt zu verstehen sind.

Schweregrad: kritisch

Schwachstellen, die unter "kritisch" laufen, weisen üblicherweise die meisten der folgenden Eigenschaften auf:

  • Die Ausnutzung der Schwachstelle führt womöglich zur Kompromittierung von Servern oder Infrastrukturgeräten auf Stammebene.
  • Die Ausnutzung erfolgt in der Regel ohne Umwege, d. h. der Angreifer braucht keine besonderen Authentifizierungsdaten oder Kenntnisse über einzelne Opfer und muss keinen Zielbenutzer (etwa mittels Social Engineering) dazu überreden, spezielle Maßnahmen vorzunehmen.

Bei kritischen Schwachstellen empfiehlt es sich, möglichst schnell Patches oder Upgrades durchzuführen, falls keine Behebungsmaßnahmen vorhanden sind. Ein Faktor zur Risikominimierung wäre beispielsweise, wenn niemand über das Internet auf deine Installation zugreifen kann.

Schweregrad: hoch

Schwachstellen, die unter "hoch" laufen, weisen üblicherweise einige der folgenden Eigenschaften auf:

  • Die Ausnutzung der Schwachstelle ist schwierig.
  • Die Ausnutzung könnte zu erweiterten Privilegien führen.
  • Die Ausnutzung kann zu bedeutenden Datenverlusten oder Ausfällen führen.

Schweregrad: mittel

Schwachstellen, die unter "mittel" laufen, weisen üblicherweise einige der folgenden Eigenschaften auf:

  • Schwachstellen, bei denen der Angreifer einzelne Opfer mit Social-Engineering-Techniken manipulieren muss
  • Denial-of-Service-Schwachstellen, die sich schwer einrichten lassen
  • Exploits, bei denen ein Angreifer sich im selben Netzwerk befinden muss wie das Opfer
  • Schwachstellen, deren Ausnutzung nur eingeschränkten Zugang gewährt
  • Schwachstellen, bei denen für eine erfolgreiche Ausnutzung Benutzerprivilegien erforderlich sind

Schweregrad: niedrig

Schwachstellen im niedrigen Bereich wirken sich in der Regel kaum auf Geschäftsabläufe in Unternehmen aus. Für die Ausnutzung von derartigen Schwachstellen ist normalerweise der Zugriff auf ein lokales oder physisches System erforderlich. Schwachstellen im Code von Drittanbietern, auf die nicht vom Atlassian-Code aus zugegriffen werden kann, werden ggf. auf einen niedrigeren Schweregrad heruntergestuft.