CVSS (Common Vulnerability Scoring System) ist ein offener Standard zur Bewertung des Schweregrads von Schwachstellen auf einer Skala von 0,0 bis 10,0. Die aktuelle Version ist CVSS v4.0. Die Bewertung berücksichtigt Angriffsvektor, Komplexität, erforderliche Privilegien und Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Im ISMS unterstützt CVSS die Priorisierung im Schwachstellenmanagement nach ISO 27001 Annex A Control A.8.8. Typische Schwellenwerte: Critical (9,0-10,0) erfordert sofortige Reaktion, High (7,0-8,9) innerhalb definierter Fristen, Medium und Low nach Risikoabwägung. Beachte, dass der CVSS-Score allein nicht ausreicht — der Kontext Deiner Umgebung (Erreichbarkeit, Kritikalität des betroffenen Systems, vorhandene Kompensationsmaßnahmen) bestimmt das tatsächliche Risiko. CVSS liefert den Ausgangspunkt, die finale Priorisierung bleibt eine organisationsspezifische Entscheidung.