„Passwort“ Folge 60: Sinn und Unsinn von CVSS, SSVC, EPSS und Co (opens original article in a new tab)

Der Podcast diskutiert die Komplexität und Unklarheit von Sicherheitsbewertungssystemen wie CVSS, SSVC und EPSS und fragt, ob sie wirklich nützlich sind.

• Sicherheitslücken sollten dringend behoben werden, aber die Bewertungssysteme wie CVSS, SSVC und EPSS sind komplex und oft unklar.
• Die Systeme wie CVSS 3.1 und 4.0 beschreiben die theoretische Gefährlichkeit von Lücken, nicht das tatsächliche Risiko in konkreten Umgebungen.
• Die Podcast-Folge diskutiert, ob die Vielzahl an Bewertungssystemen nützlich ist oder ein Irrweg darstellt.
• Die Hosts betonen, dass keine Metrik die Frage beantwortet, ob und wie schwer eine Lücke die eigene Organisation betrifft.