3.4 Risikobewertung

3.4.1 Methodik

Die Risikobewertung für Schwachstellen und Produkte erfolgt auf Basis etablierter Standards:

CVSS v3.1/v4.0 – Common Vulnerability Scoring System für einzelne CVEs
SSVC – Stakeholder-Specific Vulnerability Categorization für Priorisierung
CRA Annex I – Anforderungskatalog als Bewertungsrahmen

RECHTSGRUNDLAGE

Art. 10 Abs. 2 CRA: „Der Hersteller führt eine Cybersecurity-Risikobewertung des Produkts mit digitalen Elementen durch und berücksichtigt das Ergebnis dieser Bewertung bei der Planung, dem Entwurf, der Entwicklung, der Herstellung, der Lieferung und der Wartung des Produkts."

3.4.2 CVE-Risikobewertung (Einzelschwachstellen)

CVSS-basierte Erstbewertung

CVSS Score	Schweregrad	CRA-Priorität
9.0 – 10.0	Critical	P0/P1
7.0 – 8.9	High	P2
4.0 – 6.9	Medium	P3
0.1 – 3.9	Low	P4

Kontextuelle Bewertung

Die CVSS-Bewertung wird durch eine kontextuelle Analyse ergänzt:

Faktor	Bewertung	Gewichtung
Ausnutzbarkeit	Aktiv ausgenutzt / PoC verfügbar / Theoretisch	Hoch
Erreichbarkeit	Netzwerk / Lokal / Physisch	Hoch
Datenexposition	Personenbezogene Daten / Geschäftsdaten / Keine	Mittel
Verbreitung	Anzahl betroffener Produkte / Kunden	Mittel
Mitigierbarkeit	Fix verfügbar / Workaround / Keiner	Mittel

Entscheidungsmatrix

                    Ausnutzbarkeit
                    Aktiv    PoC    Theoretisch
Schweregrad  ┌─────────────────────────────────┐
Critical     │  P0       P1       P1            │
High         │  P1       P2       P2            │
Medium       │  P2       P3       P3            │
Low          │  P3       P4       P4            │
             └─────────────────────────────────┘

3.4.3 Produkt-Risikobewertung (CRA Art. 10 Abs. 2)

Für jedes CRA-relevante Produkt wird eine Cybersecurity-Risikobewertung durchgeführt. Verwenden Sie das Risikobewertung-Template.

Bewertungskategorien

1. Bedrohungsanalyse

Wer sind potenzielle Angreifer? (Skript-Kiddies, organisierte Kriminalität, staatliche Akteure)
Welche Angriffsvektoren existieren? (Netzwerk, physisch, Supply Chain)
Welche Assets sind gefährdet? (Daten, Funktionalität, Verfügbarkeit)

2. Auswirkungsanalyse

Vertraulichkeit: Welche Daten könnten offengelegt werden?
Integrität: Welche Daten/Funktionen könnten manipuliert werden?
Verfügbarkeit: Welche Ausfallzeiten sind akzeptabel?
Sicherheit: Können physische Schäden entstehen? (relevant für Firmware/IoT)

3. Wahrscheinlichkeitsbewertung

Angriffskomplexität
Erforderliche Privilegien
Nutzerinteraktion erforderlich
Angriffsvektor-Exposition

Risikomatrix

                    Wahrscheinlichkeit
                    Hoch     Mittel    Niedrig
Auswirkung  ┌──────────────────────────────────┐
Kritisch    │  KRITISCH  HOCH      MITTEL       │
Erheblich   │  HOCH      HOCH      MITTEL       │
Moderat     │  HOCH      MITTEL    NIEDRIG      │
Gering      │  MITTEL    NIEDRIG   NIEDRIG      │
            └──────────────────────────────────┘

3.4.4 Dokumentationspflicht

Jede Risikobewertung muss dokumentieren:

Datum der Bewertung
Bewerteter Produkt/Version
Identifizierte Risiken mit Bewertung
Getroffene Maßnahmen zur Risikominderung
Verbleibende Restrisiken mit Begründung
Verantwortlicher Bewerter
Nächster Überprüfungstermin

Die Risikobewertung ist Teil der technischen Dokumentation (Annex VII) und muss bei wesentlichen Änderungen am Produkt oder bei neuen Bedrohungslagen aktualisiert werden.

3.4 Risikobewertung ​

3.4.1 Methodik ​

3.4.2 CVE-Risikobewertung (Einzelschwachstellen) ​

CVSS-basierte Erstbewertung ​

Kontextuelle Bewertung ​

Entscheidungsmatrix ​

3.4.3 Produkt-Risikobewertung (CRA Art. 10 Abs. 2) ​

Bewertungskategorien ​

Risikomatrix ​

3.4.4 Dokumentationspflicht ​