Quantifizierung des Cybersicherheitsrisikos von Medizinprodukten mit CVSS BTE

Das Common Vulnerability Scoring System (CVSS) ist der de-facto-Standard zur Bewertung der Schwere von Cybersicherheitslücken. In der Praxis wird es jedoch häufig falsch angewendet. Die meisten Akteure verlassen sich ausschließlich auf den sogenannten CVSS „Base Score“, ein Maß für die technische Schwere, und ignorieren die mit der Version 4.0 eingeführten Kontextmetriken „Threat“ und „Environmental“. Diese eingeschränkte Nutzung führt zu schlechter Priorisierung, insbesondere in sicherheitskritischen Bereichen wie dem Gesundheitswesen. In dieser Studie führen wir die erste groß angelegte Anwendung der vollständigen Base-, Threat- und Environmental-Bewertung (BTE) von CVSS 4.0 auf einen umfassenden Datensatz von Schwachstellen in Medizinprodukten durch. Wir zeigen, dass die Threat-Gruppe teilweise automatisiert mit strukturierten Datenquellen bestimmt werden kann, während aussagekräftige Umweltprofile (z. B. häusliche versus stationäre Pflege) eine halbautomatische Erstellung der Environmental-Metriken ermöglichen. Unsere Ergebnisse bestätigen, dass die BTE-Bewertung die Priorisierung von Schwachstellen signifikant verändert und ein Risikobild liefert, das sowohl genauer als auch besser umsetzbar ist, insbesondere wenn Sicherheit eine Rolle spielt.