Schwachstellenampel des BSI

Schwachstellenampel des BSI

Die Schwachstellenampel des BSI ist meines Erachtens eine gute Sache und kann als Entscheidungshilfe für den Einsatz gängiger Softwareprodukte namhafter Hersteller von großem Nutzen sein.

Die Schwachstellenampel dient dazu, Schwachstellen aufzuzeigen, zu bewerten, ob kritisch oder nicht und als Folge davon, die Anzahl geschlossener also fertig bearbeiteter Schwachstellen ebenfalls darzustellen.

Schwachstellenampel
quelle https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Hier ein Beispiel eines fiktiven Herstellers aus der BSI-eigenen Infobroschüre.

Zu Produkt 1: Es gab also im Abfragezeitraum 23 Schwachstellen, von denen 3 als kritisch angesehen wurden. Diese Schwachstellen wurden alle behoben, deshalb werden sie im Punkt geschlossene Schwachstellen aufgeführt. Für dieses Produkt gibt es allerdings eine aktuell offene Schwachstelle, die auch als kritisch angesehen wird. Die BSI-Schwachstellenampel bewertet Produkt 1 mit rot.

Die ganze Tabelle bezieht sich auf einen Hersteller und listet unterschiedliche Produkte auf. Die Gesamtbewertung aller offenen Schwachstellen aller Softwareprodukte dieses Herstellers bewertet das BSI somit mit rot.

Schwachstellenampel des BSI für welche Produkte

Natürlich bewertet die Schwachstellenampel des BSI nicht die Software von der Kellerklitsche um die Ecke. Hier werden verbreitete Softwareprodukte bewertet, die viele Anwender verwenden und deren Sicherheitslücken ebenfalls vielen Anwendern zum Verhängnis werden könnten.

Folgende Hersteller mit folgenden Produkten werden zum Zeitpunkt dieses Artikels genauer unter die Lupe genommen:

Schwachstellenampel Hersteller
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Der Auswertezeitraum der Schwachstellenampel wird im Kopf der Seite bekannt gegeben. Er legt das maximale Alter der geschlossenen Schwachstellen fest. Vor diesem Zeitraum geschlossene Schwachstellen werden nicht berücksichtigt.

Nicht zuletzt übt diese Bewertung des BSI auch Druck auf die Hersteller aus, keiner der Marktführer möchte hier gerne schlecht bewertet werden bzw. dauerhaft mit nicht geschlossenen Schwachstellen auftauchen.

Hier zur Seite des BSI

Auch innerhalb der kostenlosen APP securityNews erhältlich.