CVSS-Rechner
Interaktiver CVSS-3.1-Rechner und Referenz aller 13 Schwachstellen-Scores
Lernziel
Nach dieser Seite verstehst du, wie CVSS-3.1-Scores berechnet werden, und kannst den interaktiven Rechner nutzen, um Schwachstellen in eigenen Analysen zu bewerten.
Was ist CVSS?
CVSS (Common Vulnerability Scoring System) ist ein standardisiertes Bewertungssystem für Sicherheitslücken. Es liefert eine Zahl von 0 bis 10, die den Schweregrad einer Schwachstelle objektiv beschreibt.
Stell dir CVSS wie eine Unfallbewertung vor: Ein Kratzer am Auto ist anders zu bewerten als ein Totalschaden mit Personenschaden. CVSS quantifiziert, wie "schlimm" eine Sicherheitslücke ist, damit Hersteller Prioritäten setzen können.
Schweregrad-Skala
| Score | Schweregrad |
|---|---|
| 0.0 | None |
| 0.1 – 3.9 | Low |
| 4.0 – 6.9 | Medium |
| 7.0 – 8.9 | High |
| 9.0 – 10.0 | Critical |
Die drei Metriken-Gruppen
CVSS 3.1 bewertet eine Schwachstelle in drei Gruppen:
1. Base Metrics (Basismetriken)
Unveränderliche Eigenschaften der Schwachstelle selbst:
- Attack Vector (AV): Wie kann der Angreifer angreifen? Network (N), Adjacent (A), Local (L), Physical (P)
- Attack Complexity (AC): Wie komplex ist der Angriff? Low (L) oder High (H)
- Privileges Required (PR): Braucht der Angreifer Berechtigungen? None (N), Low (L), High (H)
- User Interaction (UI): Muss ein Nutzer etwas tun? None (N) oder Required (R)
- Scope (S): Betrifft die Schwachstelle andere Systeme? Unchanged (U) oder Changed (C)
- Impact (C/I/A): Wie stark ist der Schaden für Confidentiality, Integrity, Availability? None (N), Low (L), High (H)
2. Temporal Metrics
Wie sich die Schwachstelle über Zeit verändert (Exploit-Verfügbarkeit, Patch-Status). Optional.
3. Environmental Metrics
Angepasst an die spezifische Umgebung des Nutzers. Optional.
Nur Base Score für Berichte
Für die meisten Pentest-Berichte reicht der Base Score aus. Temporal und Environmental Metrics werden nur benötigt, wenn du die Bewertung an einen spezifischen Kontext anpassen musst.
Interaktiver CVSS-3.1-Rechner
CVSS 3.1 Base-Score-Rechner
Alle 13 Schwachstellen aus der Analyse
Die folgende Tabelle zeigt alle Schwachstellen, die bei der Analyse der drei Consumer-IoT-Geräte (LED-Brille, LED-Strip, Körperwaage) identifiziert wurden:
| ID | Schwachstelle | Gerät | CVSS-Vektor | Score | Schweregrad |
|---|---|---|---|---|---|
| 001 | Hardkodierter AES-Schlüssel | LED-Brille | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | 8.1 | HIGH |
| 002 | AES-ECB-Modus | LED-Brille | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N | 5.9 | MEDIUM |
| 003 | Fehlende Authentifizierung (Protokoll) | LED-Brille | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | 8.1 | HIGH |
| 004 | Schwaches Pairing | LED-Brille | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | 6.5 | MEDIUM |
| 005 | Kein Replay-Schutz | LED-Brille | AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L | 6.5 | MEDIUM |
| 006 | GATT unverschlüsselt | LED-Strip | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | 8.3 | HIGH |
| 007 | Globaler XOR-Schlüssel | LED-Strip | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | 8.3 | HIGH |
| 008 | Keine Authentifizierung | LED-Strip | AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L | 7.1 | HIGH |
| 009 | Kein Replay-Schutz | LED-Strip | AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L | 6.5 | MEDIUM |
| 010 | Gesundheitsdaten im Broadcast | Körperwaage | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | 6.5 | MEDIUM |
| 011 | Statische MAC-Adresse | Körperwaage | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | 4.3 | MEDIUM |
| 012 | Kein Bonding | Körperwaage | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | 6.5 | MEDIUM |
| 013 | Long Range (erweiterte Reichweite) | Körperwaage | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | 4.3 | MEDIUM |
Attack Vector Adjacent (AV:A)
Alle Schwachstellen verwenden AV:A (Adjacent), weil BLE-Angriffe physische Nähe erfordern (~10–100 m). Das reduziert den Score im Vergleich zu Netzwerkangriffen (AV:N), die aus dem Internet möglich sind. Trotzdem sind Scores von 8.1–8.3 als HIGH eingestuft — die Auswirkungen sind gravierend.
Score-Verteilung nach Gerät
| Gerät | Anzahl Schwachstellen | Ø Score | Höchster Score |
|---|---|---|---|
| LED-Brille | 5 | 7.0 | 8.1 (HIGH) |
| LED-Strip | 4 | 7.6 | 8.3 (HIGH) |
| Körperwaage | 4 | 5.4 | 6.5 (MEDIUM) |
Der LED-Strip schneidet am schlechtesten ab, weil er weder Link-Layer-Verschlüsselung noch Authentifizierung hat. Die Körperwaage hat den niedrigsten Gesamt-Score, da ihre Schwachstellen hauptsächlich Confidentiality betreffen (Datenschutz), ohne direkte Manipulation zu ermöglichen.
Zusammenfassung
- CVSS bewertet Schwachstellen auf einer Skala von 0–10 in drei Dimensionen: Angriffsmethode, Privilegien, Impact
- Alle gefundenen Schwachstellen sind MEDIUM oder HIGH — keine ist kritisch, aber alle erfordern Handlung
- Der Attack Vector "Adjacent" (Bluetooth-Reichweite) verhindert Critical-Scores, macht die Schwachstellen aber nicht harmlos
- Die schlimmsten Einzelschwachstellen (8.1–8.3): Hardkodierter Schlüssel und unverschlüsseltes GATT
Warum erreichen BLE-Schwachstellen selten den CVSS-Score 9.0+ (Critical)?