Glossary term
CVSS
Also: Common Vulnerability Scoring System
Standardisiertes Bewertungssystem für Schwachstellen mit Score 0-10. Aktuelle Version CVSS v4.0 (2023). Misst Base, Temporal und Environmental Metrics. Wird häufig kritisiert, da kein Ausnutzbarkeits-Signal.
Score-Stufen: 0-3.9 Niedrig, 4-6.9 Mittel, 7-8.9 Hoch, 9-10 Kritisch. Base Metrics: Attack Vector, Attack Complexity, Privileges Required, User Interaction, Scope, Impact (C/I/A).
CVSS v4.0 vs v3.1: v4.0 bringt Threat Metrics (statt Temporal), Environmental Metrics, Supplemental Metrics und granularere Impact-Definition. Nicht jeder Anbieter ist auf v4.0 umgestiegen, Mischwelt 2025-2026.
Kritik: CVSS allein liefert keine Aussage zur tatsächlichen Ausnutzung. Deshalb ergänzen moderne Programme CVSS um EPSS (Wahrscheinlichkeit der Ausnutzung in den nächsten 30 Tagen) und KEV-Listung.
Related terms
CVE
Globaler Identifier für öffentlich bekannte Sicherheits-Schwachstellen in Software und Hardware. For…
SBOM
Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigke…
CASB
Sicherheits-Layer zwischen Nutzern und SaaS, der Sichtbarkeit (Shadow-IT-Discovery), Datenschutz (DL…
CNAPP
Plattform-Kategorie nach Gartner, die CSPM, CWPP, CIEM, KSPM, DSPM und IaC-Scanning in einem Tool zu…
Confidence Score
Eine quantifizierte Einschätzung, wie belastbar die Aussage eines Entscheidungs-Memos ist, getrennt …
Confidential Computing
Hardware-basierte Isolation, die Daten während der Verarbeitung verschlüsselt hält (data-in-use). Er…
Critical ICT Third-Party Provider (CTPP)
ICT-Drittanbieter, der von der EU-Kommission nach DORA Art. 31 als kritisch eingestuft wird und unte…
CSPM
Software-Kategorie zur kontinuierlichen Prüfung von Cloud-Konfigurationen gegen Sicherheits-Benchmar…