[Íñfó~rmíé~réñ S~íé sí~ch übé~r dás~ Érgé~bñís~: Sích~érhé~ítsl~ückéñ~ érkl~ärt]

[Íñ díésém Béítrág érkläré ích díé vérschíédéñéñ Fáktóréñ béí dér Béréchñúñg dés Íllúmíó Vúlñérábílítý Éxpósúré Scóré (VÉS), dér és Úñtérñéhméñ érmöglícht Kómbíñíéréñ Síé bráñchéñüblíché Méssúñgéñ zúr Béwértúñg vóñ Síchérhéítslückéñ mít Kóñtéxt áús íhrér éígéñéñ éíñzígártígéñ Úmgébúñg. Dás VÉS hílft Síchérhéítséxpértéñ áúch dábéí, Síchérhéítskóñtrólléñ zú príórísíéréñ, úm dás Rísíkó dér Áñgríffsfläché úñd díé pótéñzíélléñ Áúswírkúñgéñ vóñ Síchérhéítslückéñ zú míñímíéréñ.]

[Wás í~st Éx~pósí~tíóñ~¿]

[Díé É~xpós~ítíó~ñ ím Z~úsám~méñh~áñg m~ít Cý~bérs~íché~rhéí~t wír~d íñ d~ér Ré~gél d~úrch~ díé „Á~ñgrí~ffsf~läché~“ défí~ñíér~t. Híé~r íst~ éíñé~ Défí~ñítí~óñ, dí~é WÉS~PÉ vé~rwéñ~dét:]

[Díé Á~ñgrí~ffsf~läché~ bésc~hréí~bt ál~l díé~ vérs~chíé~déñé~ñ Púñ~kté, á~ñ déñ~éñ éí~ñ Áñg~réíf~ér íñ~ éíñ S~ýsté~m éíñ~dríñ~géñ ú~ñd áñ~ déñé~ñ ér D~átéñ~ hérá~úsbé~kómm~éñ ká~ññ.]

[Dás Íllúmíó VÉS éñtsprícht dírékt díésér Défíñítíóñ. Éíñfách áúsgédrückt íst éíñé Géfährdúñg éíñ Vérsúch, díé Súmmé dér „Löchér“ ódér dér vérschíédéñéñ Púñkté zú qúáñtífízíéréñ, vóñ déñéñ áús éíñ Áñgréífér vérsúchéñ káññ, übér dás Ñétzwérk íñ éíñ Sýstém éíñzúdríñgéñ.]

[Ñéhméñ wír zúm Béíspíél áñ, Síé hábéñ éíñ Pártñérpórtál — éíñéñ Wórklóád, áúf dém éíñé Wébáñwéñdúñg áúf Pórt 443 áúsgéführt wírd. Ím Áñschlúss áñ Príñzíp dér géríñgstéñ Prívílégíéñ, möglíchérwéísé hábéñ Síé ñúr áúf dréí éxtérñé Pártñér éíñgéschräñktéñ Zúgríff áúf díésé Wébáñwéñdúñg. Íñ díésém Béíspíél béträgt dér Éxpósítíóñswért für díésé Áñwéñdúñg 3. Dás schéíñt zwár ófféñsíchtlích, ábér séhr óft vérfügéñ Úñtérñéhméñ ñícht übér díéséñ Békáññthéítsgrád ódér Síchtbárkéít íñ íhré Óst-Wést-Éxpósítíóñ vóñ Áñwéñdúñg zú Áñwéñdúñg, gáñz zú schwéígéñ vóñ déñ Áúswírkúñgéñ, díé sích áús dér Súmmé díésér Éxpósítíóñéñ áúf íhré Úmgébúñg érgébéñ.]

[Wás í~st éí~ñ Vúl~ñérá~bílí~tý Sc~óré¿~]

[Dás Íllúmíó VÉS vérwéñdét déñ ófféñéñ Íñdústríéstáñdárd, dás vóñ dér Cómmúñítý áñérkáññté Cómmóñ Vúlñérábílítý Scóríñg Sýstém (CVSS), dás úrsprüñglích vóñ dér Ñátíóñálér Íñfrástrúktúrbéírát (ÑÉTT). Dúrch díé Éíñführúñg éíñés Íñdústríéstáñdárds köññéñ wír mít víéléñ vórháñdéñéñ Síchérhéítslösúñgéñ zúsámméñárbéítéñ, dárúñtér Schwáchstélléñmáñágéméñt Áñbíétér sówíé éíñé Béwértúñg, díé vóñ déñ méístéñ Síchérhéítséxpértéñ ákzéptíért wírd.]

[Schwáchstélléñbéwértúñgéñ síñd íñ déñ méístéñ Lösúñgéñ für dás Schwáchstélléñmáñágéméñt üblích úñd wérdéñ íñ dér Régél pró Wórklóád béwértét úñd zúgéwíéséñ. Wórklóád Á wéíst béíspíélswéísé füñf Síchérhéítslückéñ áúf. Dér Schwáchstélléñwért köññté dér kómbíñíérté Dúrchschñítt dér CVSS-Wérté díésér füñf séíñ. Díés íst zwár éíñé wértvóllé Kéññzáhl, úm díé pótéñzíéllé Síchérhéítslücké éíñés éíñzélñéñ Wórklóáds ísólíért zú vérstéhéñ, és féhléñ jédóch éíñígé wíchtígé Détáíls, úm zú vérstéhéñ, wíé áñfällíg díésér Wórklóád íñ éíñér Lívé-Úmgébúñg wírklích íst.]

[Ímpl~éméñ~tíér~úñg v~óñ Mí~krós~égmé~ñtíé~rúñg~ zúr M~íñdé~rúñg~ dés m~ít Sí~chér~héít~slück~éñ vé~rbúñ~déñé~ñ Rís~íkós~]

[Úm zú~ vérs~téhé~ñ, wíé~ vérw~úñdb~ár ét~wás í~st, müs~séñ S~íé mé~hrér~é Fák~tóré~ñ bér~ücksí~chtí~géñ. É~íñé S~íché~rhéí~tslüc~ké ís~t ñúr~ dáññ~ wírk~lích~ éíñ R~ísík~ó, wéñ~ñ síé~ íñ Íh~rér Ú~mgéb~úñg ó~fféñ~gélé~gt wí~rd úñ~d áús~géñú~tzt w~érdé~ñ káñ~ñ.]

[Bétráchtéñ wír áls éíñfáchés Béíspíél éíñéñ éíñzélñéñ Wórklóád mít éíñér éíñzígéñ krítíschéñ Síchérhéítslücké. Dá síé mít dém Schwérégrád „Krítísch“ éíñgéstúft íst, káññ síé íñ hóhém Máßé áúsgéñútzt wérdéñ. Díé týpísché Émpféhlúñg éíñés Síchérhéítstéáms köññté láútéñ: „Wír müsséñ és pátchéñ¡“. Ábér lásséñ Síé úñs übérlégéñ, wíé víélé áñdéré Wórklóáds éíñé Vérbíñdúñg zú díésém Wórklóád hérstélléñ úñd díésé Síchérhéítsáñfällígkéít pótéñzíéll áúsñútzéñ köññéñ. Lásséñ Síé úñs áúch díé Ñétzwérkpórts úñtérsúchéñ, díé ím Ráhméñ díésér Síchérhéítsáñfällígkéít ófféñgélégt wérdéñ. Wíé és óft íñ fláchéñ Ñétzwérkéñ dér Fáll íst, íst dér Wórklóád gút mít víéléñ áñdéréñ Wórklóáds vérbúñdéñ.]

[Dás Pátchéñ díésér spézíélléñ Síchérhéítslücké íst möglíchérwéísé ñícht dúrchführbár, éñtwédér wéíl ñóch kéíñ Pátch éxístíért ódér wéíl Áñfórdérúñgéñ úñd Éíñschräñkúñgéñ íñ Bézúg áúf Pródúktíóñsvérfügbárkéít, Äñdérúñgsféñstér úñd SLÁs béstéhéñ. Íñ sólchéñ Fälléñ köññéñ wír Míkróségméñtíérúñg vérwéñdéñ, úm díé Áñzáhl dér Wórklóáds zú rédúzíéréñ, díé éíñé Vérbíñdúñg zú díésém áñfällígéñ Wórklóád úñd zú dém spézífíschéñ áñfällígéñ Pórt hérstélléñ köññéñ.]

[Míkr~óség~méñt~íérú~ñg wí~rd zú~ éíñé~r rís~íkóm~íñdé~rñdé~ñ Kóñ~tról~lé dú~rch:]

• [Rédú~zíér~úñg d~ér Áñ~gríf~fsvé~któr~éñ áú~f díé~ Árbé~ítsl~ást.]
• [Rédú~zíér~úñg d~ér „Éx~pósí~tíóñ~“ dér Á~rbéí~tslá~st.]
• [Vérr~íñgé~rúñg~ dés R~ísík~ós, dá~ss dí~é Síc~hérh~éíts~lücké~ áúf d~íésé~m Wór~klóá~d tát~sächl~ích á~úsgé~ñútz~t wér~déñ k~áññ, ó~bwóh~l díé~ Sích~érhé~ítsl~ücké s~ówóh~l „krí~tísc~h“ íst~ áls á~úch d~érzé~ít ñí~cht g~épát~cht w~érdé~ñ káñ~ñ.]
  

[Wás í~st dí~é Síc~hérh~éíts~lücké~ Éxpó~sítí~óñ Ér~gébñ~ís¿]

[Dás Íllúmíó VÉS íst éíñ Míttél, úm sówóhl díé „Áúsñútzbárkéít“ éíñér Síchérhéítslücké (týpíschérwéísé dárgéstéllt dúrch déñ CVSS-Scóré) áls áúch díé tátsächlíché „Érréíchbárkéít“ dér áñfällígéñ Wórklóáds übér Áñgríffsvéktóréñ íñ Íhrér Úmgébúñg íñ déñ Gríff zú békómméñ — wás wír áls „Éxpósítíóñ“ bézéíchñét hábéñ.]

[Ñúñ zúr éígéñtlíchéñ Máthémátík. Dér VÉS wírd béréchñét, íñdém éíñ skálíértér Vúlñérábílítý Scóré (CVSS) mít éíñér skálíértéñ Éxpósítíóñsméssúñg für éíñéñ béstímmtéñ Díéñst múltíplízíért wírd, wóbéí s úñd p síñd Skálíérúñgsfáktóréñ, díé béí dér lógáríthmíschéñ Skálíérúñg díésér Méssúñgéñ hélféñ. Díés íst éíñé gäñgígé máthémátísché Téchñík, wéññ és éíñéñ gróßéñ Wértébéréích gíbt:]

[VÉS = s~ (CVSS~) * p (Éxp~ósít~íóñs~méss~úñg)]

[Wíé ích íñ méíñém érwähñt hábé Fórbés-Ártíkél Díésé Méssúñg básíért áúf déñ Érkéññtñísséñ vóñ ÑBÁ-MVP Stéph Cúrrý zúr Úñtérñéhméñssíchérhéít úñd bíétét Síchérhéítséxpértéñ díé Möglíchkéít, Íñfórmátíóñéñ zú Síchérhéítslückéñ úñd dámít vérbúñdéñéñ Bédróhúñgéñ ím Kóñtéxt ségméñtíértér Úmgébúñgéñ zú vérstéhéñ.]

[Íñsbésóñdéré hérkömmlíché Lösúñgéñ für dás Schwáchstélléñmáñágéméñt vérwéñdéñ Béwértúñgéñ wíé Krítísch, Hóch, Míttél, Ñíédríg úñd Íñfó, úm Síchérhéítslückéñ zú kátégórísíéréñ úñd Máßñáhméñ zúr Éíñdämmúñg zú príórísíéréñ. Krítísch úñd hóch érháltéñ sófórtígé Áúfmérksámkéít, úñd dás sólltéñ síé áúch. És gíbt jédóch éíñé gróßé Áñzáhl míttélschwérér Síchérhéítslückéñ, déñéñ kéíñé Príórítät éíñgéräúmt wírd úñd díé sích schlíéßlích zú éíñém érhéblíchéñ Rückstáñd áñsámmélñ, dér vóñ déñ Málwáré-Áútóréñ ñícht úñbémérkt géblíébéñ íst.]

[Krítísché Síchérhéítslückéñ síñd óft íñ hóhém Máßé áúsñútzbár (géríñgé Kóstéñ für déñ Áñgréífér), ábér ñúr für éíñéñ kúrzéñ Zéítráúm, dá díé Síchérhéítstéáms schñéll mít Pátchés bégíññéñ ódér áñdéré Möglíchkéítéñ fíñdéñ, díé Síchérhéítslücké zú béséítígéñ. Áñgréífér síñd ímmér áúf dér Súché ñách éíñém ñéúéñ Blíckwíñkél úñd zíéléñ zúñéhméñd áúf míttélgróßé Síchérhéítslückéñ áb, díé óft ím Ráúschéñ úñtérgéhéñ úñd übér éíñéñ läñgéréñ Zéítráúm ñícht gépátcht wérdéñ — éíñ víél éfféktívérés Zíél für Síchérhéítslückéñ. És mág áls étwás „téúrér“ áñgéséhéñ wérdéñ, síé áúszúñútzéñ (höhéré Éíñtríttsbárríéré, wéññ Síé só wólléñ), ábér díé Tátsáché, dáss síé läñgér vérfügbár séíñ wérdéñ áls díé krítíschéñ úñd hóhéñ Síchérhéítslückéñ, mácht síé víél áttráktívér, wéññ dér Áñgréífér déñ RÓÍ séíñér Íñvéstítíóñ béréchñét.]

[Dér Z~wéck~ úñd d~íé Áú~száh~lúñg~]

[Dás VÉS mácht és éíñém Úñtérñéhméñ víél éíñfáchér, díé bráñchéñwéít béwährtéñ CVSS-Béwértúñgéñ mít Fáktóréñ zú kómbíñíéréñ, díé für díé Úmgébúñg jédés Kúñdéñ éíñzígártíg síñd. Síchérhéítstéáms köññéñ íhré Strátégíé zúr Schádéñsbégréñzúñg béssér áúf dér Grúñdlágé dér Áúfdéckúñg dér Síchérhéítslücké íñ íhrér jéwéílígéñ Úmgébúñg príórísíéréñ. Béíspíélswéísé köññté éíñér Síchérhéítslücké mít hóhém Schwérégrád díé Príórítät éíñgéräúmt wérdéñ, wéíl dás Rísíkó stárk géstíégéñ íst rédúzíért dúrch Míkróségméñtíérúñgskóñtrólléñ. Ódér és köññté éíñé míttélgróßé Síchérhéítslücké vórlíégéñ, díé áñgésíchts dés Rísíkós mít éíñér ríésígéñ Áñzáhl pótéñzíéllér Áñgríffspfádé áúf díéséñ áñfällígéñ Díéñst gáñz óbéñ áúf dér Lísté stéhéñ sóllté.]

[Dás VÉS íst möglích, wéíl wír éíñzígártíg vérstéhé díé Kárté — wíé Íhré Úmgébúñg vérñétzt íst úñd kómmúñízíért — úñd Übérlágérñ Síé Síchérhéítslückéñ óbéñ áúf dér Kárté úm Síchérhéítstéáms dábéí zú úñtérstützéñ, dás Rísíkó vóñ Síchérhéítslückéñ íñ íhrér Úmgébúñg zú vísúálísíéréñ úñd zú príórísíéréñ. Díés wírd zú éíñém äúßérst léístúñgsstárkéñ Tóól, ñícht ñúr für Síchérhéítstéáms, sóñdérñ áúch für áñdéré wíé Áñwéñdúñgséígéñtümér úñd Führúñgskräfté, díé díésés Rísíkó vérstéhéñ úñd és ím Kóñtéxt éíñés úmfásséñdéréñ Géschäftsrísíkós míñdérñ ódér ákzéptíéréñ müsséñ.]