19. Mai 2025
Unternehmen benötigen klare Kennzahlen, um Schwachstellen in Software und Hardware vorherzusagen und schnell darauf zu reagieren. Die Priorisierung der Schwachstellen, die am anfälligsten für aktive Ausnutzung sind, ist ein Kernelement des Managements der Cybersicherheitsrisiken der Nation.
Das NIST-Sicherheitspapier (CSWP) 41, Wahrscheinlich ausgenutzte Schwachstellen: Metrik zur Schätzung der Wahrscheinlichkeit der Ausnutzung von Schwachstellen, hilft Unternehmen dabei, aktiv ausgenutzte Schwachstellen zu identifizieren und nach dem Patchen zu priorisieren. Diese Arbeit schlägt eine Metrik vor, die auf von der Community bereitgestellten Wahrscheinlichkeiten basiert, um die erwartete Ausnutzung von Produktschwachstellen abzuschätzen. Sie beschreibt diese Berechnung und wie die Ergebnisse zur Verbesserung der Sicherheit und der Priorisierung genutzt werden können. Die in diesem Papier vorgestellten Wahrscheinlichkeitsberechnungen helfen auch dabei, Verbesserungsmöglichkeiten in gängigen Systemen zu identifizieren, die zur Beschreibung von Aktivitäten zur Ausnutzung von Schwachstellen verwendet werden. Diese Arbeit wird solche Systeme und die erforderlichen Abhilfemaßnahmen verbessern, um nationale Cybersicherheitsrisiken zu verringern.
Diese Arbeit präsentiert einen Vorschlag für eine Sicherheitsmetrik zur Bestimmung der Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wurde. Nur ein kleiner Teil der Zehntausenden von Software- und Hardware-Schwachstellen, die jedes Jahr veröffentlicht werden, wird tatsächlich ausgenutzt. Für die Effizienz und Kosteneffizienz der Maßnahmen zur Behebung von Schwachstellen in Unternehmen ist es wichtig, vorherzusagen, welche Schwachstellen ausgenutzt werden. Derzeit stützen sich solche Maßnahmen auf das Exploit Prediction Scoring System (EPSS), dessen Werte bekanntermaßen ungenau sind, und auf Listen bekannter ausgenutzter Schwachstellen (KEV), die möglicherweise nicht vollständig sind. Die vorgeschlagene Wahrscheinlichkeitsmetrik könnte das EPSS (durch Korrektur einiger Ungenauigkeiten) und die KEV-Listen (durch Messung der Vollständigkeit) ergänzen. Allerdings ist eine Zusammenarbeit mit der Industrie erforderlich, um die notwendigen Leistungsmessungen durchzuführen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Solaranlagen im Visier von Hackern: Wie veraltete Protokolle die Energiewende gefährden
Wie Cyberkriminelle Microsoft-Nutzer mit gefälschten Gerätecodes täuschen
OpenAI präsentiert GPT-5.2-Codex: KI-Revolution für autonome Softwareentwicklung und IT-Sicherheit
Speicherfehler in Live-Systemen aufspüren: GWP-ASan macht es möglich
Geparkte Domains als Einfallstor für Cyberkriminalität: Über 90 Prozent leiten zu Schadsoftware weiter
Studien
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit
49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum
Deutschland im Glasfaserausbau international abgehängt
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
Whitepaper
State of Cloud Security Report 2025: Cloud-Angriffsfläche wächst schnell durch KI
BITMi zum Gutachten zum Datenzugriff von US-Behörden: EU-Unternehmen als Schlüssel zur Datensouveränität
Agentic AI als Katalysator: Wie die Software Defined Industry die Produktion revolutioniert
OWASP veröffentlicht Security-Framework für autonome KI-Systeme
Malware in Bewegung: Wie animierte Köder Nutzer in die Infektionsfalle locken
Hamsterrad-Rebell
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
