3.4 Risikobewertung
Methodik
Die Risikobewertung für Schwachstellen und Produkte erfolgt auf Basis etablierter Standards:
- CVSS v3.1/v4.0 – Common Vulnerability Scoring System für einzelne CVEs
- SSVC – Stakeholder-Specific Vulnerability Categorization für Priorisierung
- CRA Annex I – Anforderungskatalog als Bewertungsrahmen
RECHTSGRUNDLAGE
Art. 10 Abs. 2 CRA: „Der Hersteller führt eine Cybersecurity-Risikobewertung des Produkts mit digitalen Elementen durch und berücksichtigt das Ergebnis dieser Bewertung bei der Planung, dem Entwurf, der Entwicklung, der Herstellung, der Lieferung und der Wartung des Produkts."
CVE-Risikobewertung (Einzelschwachstellen)
CVSS-basierte Erstbewertung
| CVSS Score | Schweregrad | CRA-Priorität |
|---|---|---|
| 9.0 – 10.0 | Critical | P0/P1 |
| 7.0 – 8.9 | High | P2 |
| 4.0 – 6.9 | Medium | P3 |
| 0.1 – 3.9 | Low | P4 |
Kontextuelle Bewertung
Die CVSS-Bewertung wird durch eine kontextuelle Analyse ergänzt:
| Faktor | Bewertung | Gewichtung |
|---|---|---|
| Ausnutzbarkeit | Aktiv ausgenutzt / PoC verfügbar / Theoretisch | Hoch |
| Erreichbarkeit | Netzwerk / Lokal / Physisch | Hoch |
| Datenexposition | Personenbezogene Daten / Geschäftsdaten / Keine | Mittel |
| Verbreitung | Anzahl betroffener Produkte / Kunden | Mittel |
| Mitigierbarkeit | Fix verfügbar / Workaround / Keiner | Mittel |
Entscheidungsmatrix
Ausnutzbarkeit
Aktiv PoC Theoretisch
Schweregrad ┌─────────────────────────────────┐
Critical │ P0 P1 P1 │
High │ P1 P2 P2 │
Medium │ P2 P3 P3 │
Low │ P3 P4 P4 │
└─────────────────────────────────┘Produkt-Risikobewertung (CRA Art. 10 Abs. 2)
Für jedes CRA-relevante Produkt wird eine Cybersecurity-Risikobewertung durchgeführt. Verwenden Sie das Risikobewertung-Template.
Bewertungskategorien
1. Bedrohungsanalyse
- Wer sind potenzielle Angreifer? (Skript-Kiddies, organisierte Kriminalität, staatliche Akteure)
- Welche Angriffsvektoren existieren? (Netzwerk, physisch, Supply Chain)
- Welche Assets sind gefährdet? (Daten, Funktionalität, Verfügbarkeit)
2. Auswirkungsanalyse
- Vertraulichkeit: Welche Daten könnten offengelegt werden?
- Integrität: Welche Daten/Funktionen könnten manipuliert werden?
- Verfügbarkeit: Welche Ausfallzeiten sind akzeptabel?
- Sicherheit: Können physische Schäden entstehen? (relevant für Firmware/IoT)
3. Wahrscheinlichkeitsbewertung
- Angriffskomplexität
- Erforderliche Privilegien
- Nutzerinteraktion erforderlich
- Angriffsvektor-Exposition
Risikomatrix
Wahrscheinlichkeit
Hoch Mittel Niedrig
Auswirkung ┌──────────────────────────────────┐
Kritisch │ KRITISCH HOCH MITTEL │
Erheblich │ HOCH HOCH MITTEL │
Moderat │ HOCH MITTEL NIEDRIG │
Gering │ MITTEL NIEDRIG NIEDRIG │
└──────────────────────────────────┘Dokumentationspflicht
Jede Risikobewertung muss dokumentieren:
- Datum der Bewertung
- Bewerteter Produkt/Version
- Identifizierte Risiken mit Bewertung
- Getroffene Maßnahmen zur Risikominderung
- Verbleibende Restrisiken mit Begründung
- Verantwortlicher Bewerter
- Nächster Überprüfungstermin
Die Risikobewertung ist Teil der technischen Dokumentation (Annex VII) und muss bei wesentlichen Änderungen am Produkt oder bei neuen Bedrohungslagen aktualisiert werden.