Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Was ist RAV (Risk Assessment Value)?

RAV steht für Risk Assessment Value und ist ein quantitatives Maß zur Bewertung des Risikoniveaus eines IT-Systems, basierend auf erkannten Schwachstellen. Der Begriff entstammt dem OSSTMM (Open Source Security Testing Methodology Manual) und hilft bei der objektiven Einschätzung und Vergleichbarkeit von Sicherheitsbefunden.

Der RAV berücksichtigt unter anderem die Faktoren Exploitability (Ausnutzbarkeit), Impact (Auswirkung) und Exposure (Angriffsfläche). Jede identifizierte Schwachstelle wird in einer numerischen Skala bewertet, typischerweise von 1 (niedriges Risiko) bis 10 (kritisch). Die Gesamtbewertung ergibt sich aus der Summe oder dem gewichteten Durchschnitt aller Einzelbewertungen.

Wichtige RAV-Ressourcen

  • OSSTMM (Open Source Security Testing Methodology Manual)
    → Standardwerk zur strukturierten Sicherheitsbewertung inklusive RAV-Methode.

  • CVSS (Common Vulnerability Scoring System)
    → Oft genutzte Referenz für Gewichtung von Faktoren wie Verfügbarkeit, Integrität und Vertraulichkeit.

  • Risk Scoring Modelle
    → Modelle zur quantitativen Bewertung von Risiken auf System- oder Organisationsebene.

  • Issue-Kategorisierung
    → Methodik zur Einordnung gefundener Schwachstellen in definierte Risiko- und Schweregrade.

  • Reporting-Frameworks
    → Werkzeuge zur Darstellung und Kommunikation der RAV-Ergebnisse gegenüber Management oder Auditoren.

Anwendung in der Praxis

  • Bewertung von Findings: Jedes Finding erhält eine numerische Bewertung (z. B. 7.5) je nach Kritikalität.

  • Priorisierung: Hohe RAV-Werte weisen auf dringenden Handlungsbedarf hin.

  • Transparenz: Die Bewertung ist nachvollziehbar und standardisiert – auch für nicht-technische Entscheider.

  • Vergleichbarkeit: RAV ermöglicht systemübergreifende Risikovergleiche auf Portfolioebene.

  • Berichtswesen: RAV fließt in Management-Reports, Roadmaps oder Compliance-Dokumente ein.

Verwandte Begriffe

Beispiel aus der Praxis

Im Rahmen eines umfassenden Security Audits werden bei einem Finanzdienstleister mehrere Schwachstellen identifiziert. Das Auditteam bewertet jede dieser Findings mithilfe des RAV-Modells nach OSSTMM. Eine SQL Injection erhält z. B. eine 9.2, ein offener Port mit bekanntem Exploit eine 8.0, ein veralteter TLS-Stack eine 5.4. Die aggregierten Bewertungen ergeben einen RAV von 7.6 für das Gesamtsystem. Aufgrund dieses hohen Wertes wird kurzfristig ein Maßnahmenplan mit Sofortmaßnahmen (z. B. Patch-Management, Firewall-Hardening) aufgesetzt und die Ergebnisse im Management-Summary dargestellt.

zum Glossar