19. Mai 2025
Unternehmen benötigen klare Kennzahlen, um Schwachstellen in Software und Hardware vorherzusagen und schnell darauf zu reagieren. Die Priorisierung der Schwachstellen, die am anfälligsten für aktive Ausnutzung sind, ist ein Kernelement des Managements der Cybersicherheitsrisiken der Nation.
Das NIST-Sicherheitspapier (CSWP) 41, Wahrscheinlich ausgenutzte Schwachstellen: Metrik zur Schätzung der Wahrscheinlichkeit der Ausnutzung von Schwachstellen, hilft Unternehmen dabei, aktiv ausgenutzte Schwachstellen zu identifizieren und nach dem Patchen zu priorisieren. Diese Arbeit schlägt eine Metrik vor, die auf von der Community bereitgestellten Wahrscheinlichkeiten basiert, um die erwartete Ausnutzung von Produktschwachstellen abzuschätzen. Sie beschreibt diese Berechnung und wie die Ergebnisse zur Verbesserung der Sicherheit und der Priorisierung genutzt werden können. Die in diesem Papier vorgestellten Wahrscheinlichkeitsberechnungen helfen auch dabei, Verbesserungsmöglichkeiten in gängigen Systemen zu identifizieren, die zur Beschreibung von Aktivitäten zur Ausnutzung von Schwachstellen verwendet werden. Diese Arbeit wird solche Systeme und die erforderlichen Abhilfemaßnahmen verbessern, um nationale Cybersicherheitsrisiken zu verringern.
Diese Arbeit präsentiert einen Vorschlag für eine Sicherheitsmetrik zur Bestimmung der Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wurde. Nur ein kleiner Teil der Zehntausenden von Software- und Hardware-Schwachstellen, die jedes Jahr veröffentlicht werden, wird tatsächlich ausgenutzt. Für die Effizienz und Kosteneffizienz der Maßnahmen zur Behebung von Schwachstellen in Unternehmen ist es wichtig, vorherzusagen, welche Schwachstellen ausgenutzt werden. Derzeit stützen sich solche Maßnahmen auf das Exploit Prediction Scoring System (EPSS), dessen Werte bekanntermaßen ungenau sind, und auf Listen bekannter ausgenutzter Schwachstellen (KEV), die möglicherweise nicht vollständig sind. Die vorgeschlagene Wahrscheinlichkeitsmetrik könnte das EPSS (durch Korrektur einiger Ungenauigkeiten) und die KEV-Listen (durch Messung der Vollständigkeit) ergänzen. Allerdings ist eine Zusammenarbeit mit der Industrie erforderlich, um die notwendigen Leistungsmessungen durchzuführen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern
Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung
Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung
Hamsterrad-Rebell
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
