Ich hab oben ja nen Link gepostet, wie z. B. die Einschätzung zum vom BSI genutzten DAF (Deutsche Advisory Format) herkommt. Das Ganze ist komplexer, als, dass man es in einigen Forenbeiträgen erklären könnte. Generell spielt in eine solche Bewertung hinein, ob DAF (einfache Bewertungsgrundlage) oder international CVSSv3 (komplexe Bewertungsgrundlage), auch hinein, wie hoch der Aufwand ist, um eine solche Lücke auszunutzen (dein Beispiel mit Hans Mustermann) und ob dies manuell oder automatisiert erfolgt, etc. Dabei kann ein Faktor auch durchaus hoch bewertet werden, das Gesamtrisiko aber niedriger ausfallen.