RAV

Abkürzung für „Risk Assessment Value“, ein Maß zur Bewertung des Risikoniveaus eines Systems basierend auf entdeckten Schwachstellen. Der RAV im OSSTMM ermittelt Risikofaktoren anhand von Variablen wie Exploitability, Impact und Exposure. Jede Schwachstelle wird quantitativ bewertet, indem sie in eine Skala (z. B. 1–10) eingruppiert wird. Die Summe oder der durchschnittliche Wert über alle gefundenen Issues ergibt den Gesamt-RAV, der als Entscheidungsgrundlage für Priorisierung von Gegenmaßnahmen dient. Ein hoher RAV signalisiert dringenden Handlungsbedarf—etwa sofortiges Patchen, Netzwerksegmentierung oder umfassendes Redesign der Architektur. Durch standardisierte Bewertungskriterien und Gewichtungsfaktoren (z. B. CVSS-Analogien) ermöglicht RAV einen objektiven Vergleich verschiedener Systeme und erleichtert das Reporting gegenüber Geschäftsführung und Compliance-Stellen.